更新:值得庆幸的是,这个问题已经在信息安全上得到了彻底的回答: https://security.stackexchange.com/a/139203/112311
在将包添加到存储库之前,我一直在努力查找有关最流行发行版采取的措施的信息。
我知道包完整性是从存储库到用户进行验证的,但我特别想知道从安全角度来看,从开发人员到存储库何时/如何检查它。是否有针对新提交运行的脚本?或者经常回滚并仅用于测试包及其用途的机器?
例如,在开发人员使用非官方来源的xcode.
Fedora、CentOS 和 Debian 的默认存储库的安全性如何?