如何自动允许仅从最初安装的存储库更新软件包

我注意到我必须添加越来越多的 PPA 存储库来安装各种较小的软件包。我确实担心，如果这些存储库中的任何一个被攻破，它们可能会发布一个“新的”ubuntu-base 或其他带有潜在恶意负载的核心软件包，并将其安装在官方软件包之上。

有没有办法配置 apt 以便它只允许从原始包所在的存储库更新包？

我知道他们仍然可以向他们已经提供的软件包中添加恶意负载，但我想限制他们的所作所为。