ATUALIZAÇÃO: esta questão foi felizmente respondida em infosegurança: link
Eu me esforcei para encontrar informações sobre o tipo de medidas que estão em vigor, para as distribuições mais populares, antes que um pacote seja adicionado a um repositório.
Eu entendo que a integridade do pacote é verificada do repositório para o usuário, mas estou me perguntando especificamente sobre quando / como ele é verificado, do ponto de vista de segurança, do desenvolvedor para o repositório. Existem scripts executados em novas submissões? Ou máquinas que são frequentemente revertidas e usadas apenas para testar pacotes e o que eles fazem?
A App Store da Apple, por exemplo, acidentalmente hospedou malware depois que os desenvolvedores usaram uma fonte não oficial de xcode .