ОБНОВЛЯТЬ:К счастью, на этот вопрос уже дан исчерпывающий ответ на сайте InfoSecurity: https://security.stackexchange.com/a/139203/112311
Мне было трудно найти информацию о том, какие меры применяются для наиболее популярных дистрибутивов перед добавлением пакета в репозиторий.
Я понимаю, что целостность пакета проверяется от репозитория к пользователю, но мне конкретно интересно, когда/как она проверяется с точки зрения безопасности, от разработчика к репозиторию. Есть ли скрипты, которые запускаются при новых отправках? Или машины, которые часто откатываются и используются исключительно для тестирования пакетов и того, что они делают?
Например, в App Store компании Apple случайно разместилось вредоносное ПО после того, как разработчики использовали неофициальный источник xcode.