Ubuntu-make（umake）安全性：包签名？

ubuntu-make（umake）可用于安装各种流行的开发工具的最新版本。

这个过程有多安全？与 内置的安全性相比如何apt-get？例如，通过未存储在存储库服务器上的密钥进行数字签名、在工具中发现安全漏洞时进行安全、自动更新等？Apt 有一个apt-secure手册页，详细介绍了 apt 的安全方法。umake有类似的东西吗？

umake 或其交付软件包的创建过程是否会检查底层软件包上的任何数字签名，例如 Maven Central 签名？签名密钥是如何审查的？该过程是否会创建任何签名，而 umake 反过来会自动检查这些签名？这些步骤似乎很重要，正如在Maven 是一个可行的攻击媒介吗？ - 信息安全 Stack Exchange

我发现 umake 还没有进行更新（更新工具 · 问题 #74)。是否有任何方法可以确定某个已安装的工具是否已过期，以便您知道何时执行“删除/重新安装”解决方法？是否有任何方法可以检查已安装的 umake 工具是否存在安全漏洞？是否可以通过 Web 直接检查打包工具的存档以及任何相关版本和安全元数据？如果没有，是否可以通过 获得umake？软件包和元数据的格式是什么？

最后，有没有计划使用更新框架（TUF）真的能以安全的方式处理软件更新吗？