ACTUALIZAR:Afortunadamente, esta pregunta ha sido respondida completamente sobre seguridad de la información: https://security.stackexchange.com/a/139203/112311
Me ha costado encontrar información sobre qué tipo de medidas existen, para las distribuciones más populares, antes de agregar un paquete a un repositorio.
Entiendo que la integridad del paquete se verifica desde el repositorio hasta el usuario, pero me pregunto específicamente cuándo y cómo se verifica, desde una perspectiva de seguridad, desde el desarrollador hasta el repositorio. ¿Se ejecutan scripts en los nuevos envíos? ¿O máquinas que con frecuencia se revierten y se utilizan únicamente para probar paquetes y lo que hacen?
La App Store de Apple, por ejemplo, alojó accidentalmente malware después de que los desarrolladores utilizaran una fuente no oficial de xcode
.