AKTUALISIEREN:diese Frage wurde zum Glück auf infosecurity ausführlich beantwortet: https://security.stackexchange.com/a/139203/112311
Es fiel mir schwer, Informationen darüber zu finden, welche Maßnahmen bei den gängigsten Distributionen getroffen werden, bevor ein Paket zu einem Repository hinzugefügt wird.
Ich verstehe, dass die Paketintegrität vom Repository zum Benutzer überprüft wird, aber ich frage mich insbesondere, wann/wie sie aus Sicherheitsgründen vom Entwickler zum Repository überprüft wird. Werden bei neuen Übermittlungen Skripte ausgeführt? Oder Maschinen, die häufig zurückgesetzt und nur zum Testen von Paketen und ihrer Funktion verwendet werden?
Der App Store von Apple beispielsweise hat versehentlich Malware gehostet, nachdem Entwickler eine inoffizielle Quelle verwendet hatten xcode.