Ha az apt-nek van security szempontból problémája, az nem más, mint a bizalom a maintainerekben. Az egyik biztonsági megoldás a csomagok aláírása, ez egész addig jó, amíg valaki nem tud új gpg kulcsokat felrakni. A másik hogy a sources.list tartalmát nem kéne módosítani. Na, itt mindkettő megtörtént, és az egy jó kérdés, hogy ez most vajon egy maintainer 'magánakciója', vagy a disztribúció készítőjének a tudatos döntése volt. Mindkét dolog emberi, és nem technikai probléma. Nyilván egy maintainer magánakciója meglehetősen durva dolog lenne, de kíváncsi lennék, hogy technikai szinten hogy lehet megoldani, hogy egy viszonylag nagy méretű csoportban ezt hogyan lehet megoldani akkor, amikor a csomag telepítőscriptjei root joggal futnak (és elég nehéz lenne anélkül bármit is futtatni). Illetve arra is, hogy egy belső ember ilyen jellegű 'magánakcióját' - már ha ez az volt - bármelyik másik redszerben hogyan lehetne megakadályozni.
Az apt security kérdését csak úgy lehetne megítélni, ha megmutatnád, hogy ez a probléma máshol hogy van kivédve. Ha sehogy, akkor a dolog nem apt-specifikus.
Ha meg az egészből az jön le (és a fenti twitter bejegyzésből én inkább erre következtetnék), hogy mindez az akció a raspbian csapat kollektív döntése - vagy a csapatfőnök egyéni döntése - volt, akkor végképp nincs mit az apt biztonságára fogni. Ha bármelyik disztribúció úgy dönt, hogy iltt bizonyos elveket leszarnak, akkor a disztribúció használói vagy elfogadják, vagy menekülnek.