ATUALIZAR:esta pergunta foi, felizmente, completamente respondida sobre segurança da informação: https://security.stackexchange.com/a/139203/112311
Tenho me esforçado para encontrar informações sobre que tipo de medidas estão em vigor, para as distribuições mais populares, antes de um pacote ser adicionado a um repositório.
Entendo que a integridade do pacote é verificada do repositório para o usuário, mas estou pensando especificamente sobre quando/como ela é verificada, do ponto de vista da segurança, do desenvolvedor para o repositório. Existem scripts executados em novos envios? Ou máquinas que são frequentemente revertidas e usadas somente para testar pacotes e o que eles fazem?
A App Store da Apple, por exemplo, hospedou acidentalmente malware depois que os desenvolvedores usaram uma fonte não oficial de arquivos xcode.