Segurança Ubuntu-make (umake): assinaturas de pacotes?

o ubuntu-make (umake) pode ser usado para instalar a versão mais recente de uma variedade de ferramentas populares para desenvolvedores.

Quão seguro é esse processo e como ele se compara à segurança incorporada em apt-get , como assinaturas digitais por meio de chaves que não são armazenadas nos servidores de repositório, atualizações automáticas e seguras quando são identificadas vulnerabilidades de segurança nas ferramentas, etc? O Apt tem uma página apt-secure man com detalhes sobre a abordagem do apt à segurança. O umake tem algo assim?

Faz umkeke, ou os processos que criam os pacotes que ele distribui, verifica quaisquer assinaturas digitais nos pacotes subjacentes, incluindo, e. Assinaturas Maven Central? Como as chaves de assinatura são avaliadas? O processo cria qualquer assinatura que, por sua vez, verifica automaticamente? Essas etapas parecem importantes, como discutido em Maven é um vetor plausível de ataque? - Troca de pilha de segurança da informação

Eu vejo que o umake ainda não faz atualizações ( ferramentas de atualização · Edição nº 74 ). Existe alguma maneira de determinar se uma determinada ferramenta instalada está desatualizada, para saber quando fazer a solução alternativa "remover / reinstalar"? Existe alguma maneira de verificar as ferramentas do umake instaladas quanto a vulnerabilidades de segurança? O arquivo de ferramentas empacotadas e qualquer versão associada e metadados de segurança estão disponíveis para inspeção diretamente na Web? Se não, está disponível via umake ? Em que formato estão os pacotes e metadados?

Por fim, existem planos de usar o The Update Framework (TUF) para realmente lidar com as atualizações de software de maneira segura?