Hát, ha supply chain attacktól tartasz, és szeretnél kockázatot csökkenteni, akkor minél kevesebb 3rd partyt kell a képben hagyni:
- dobd ki a middlemaneket a kód útjából, dolgozz a vanilla openssh-val
- minimalizáld a build infrastruktúra kitettségét is, tehát adott esetben csináld te az eredeti upstream forrásból
- válassz olyan upstreamet, aminél kevésbé látod esélyesnek, hogy magába a saját kódba Mallory csúnyaságot tud jutattni: nehezebben ad elő ilyen legitimate beépülést vagy egyéb social engineeringet, mert olyan a közeg; nehezebben csúszik át a kód a review processzeken, mert azok jobbnak tűnnek, vagy kevesebb a változás, jobban feltűnik
- válassz olyan upstreamet, aminek kevesebb a külső függősége és/vagy megbízhatóbbnak tartod az upstreameket az előző szempontok alapján (erre a kettőre lehet, hogy jó a dropbear, nem tudom)
A 2FA nem tudom, mennyiben segít: ha szar kerül az ssh kódba, azt is le tudja szarni. Hacsak nem arra gondolsz, hogy plusz, független autentikációt illesztesz a belépési folyamatba.