Essa é uma pergunta difícil. Usabilidade para esse tipo de coisa é um aspecto desafiador da segurança.
A publicação do equivalente a apenas 32 bits do hash ("identificador de assinatura") parece uma segurança que convida os invasores a gerar uma assinatura cujo hash corresponde aos 32 bits, mas não é a mesma. A dificuldade de fazer isso parece valer uma investigação séria.
A questão real sobre em quem confiar para escrever seu software é outra decisão difícil, com aspectos significativos de segurança. Depende muito dos seus próprios requisitos de segurança. Veja a terceirização / Anexo do Contrato de Software Seguro da OWASP em IT Security - Stack Exchange para alguns dos aspectos a considerar, embora isso seja voltado para um relacionamento diferente entre você e o fornecedor.
A propósito, eu acho que IT Security (onde você originalmente postou isso) é um lugar melhor para a discussão, enquanto a idéia do relatório de bug que você comenta é a maneira de tentar consertá-lo no mundo Linux.