SolarWinds nem tudom, hogy jön ide, ők nem a Debian rendszerét használják, hanem úgy tűnik, valami rendes ellenőrzés nélküli modellt, amiben nincs manuális aláírási lépés.
Az egész téma a SolarWinds-ről szól, hogy bejuttak a rendszereikbe, ahol preparált update csomagokat készítettek és ezek jutottak el már a SolarWinds klienseihez.
Debian rendszeréhez hasonló rendszerből ki lehetne indulni, de direkt biztonságosabbra kellene elkészíteni, mert ugye a Debian esetében nem a biztonságra mentek rá
A Debian rendszere pont ilyen sérülékeny, ha a csomagkészítés és aláírás folyamatához hozzáférnek illetéktelenek, tehát hiába ellenőrzöd a hash-t, az stimmelni fog... ha kapsz új kulcsot, az is stimmelni fog.