A "software supply chain"-nek nem ott kéne kezdődnie, hogy minden git repóból jöjjön? Nyilván az is támadható, de azért nehezebb mint egy tarballt.