hát, igen ez a téma elég messzire vezethet :)
De lássuk:
a distro repóban ugye kérdés nélkül megbízol, ezt talán nem kell magyarázni. :)
viszont ez nem azt jelenti, hogy a benne találhaó programokban is vakon bízol... és nem is kell.
miért?
Mert a disztó (csomag karbantartó) 'csak' a 'csomagolást' adja. És ez a leg kritikusabb, ugyanis egy update során a csomagkezelő, és az általa meghívott scriptek futnak - root jogokkal! De a program maga - amit az eredeti fejlesztő készített - az (várhatóan) nem!
Szóval, ha egy csomag (és/vagy annak scriptjei) kompromittált - vagy csak szarul megírt, az beláthatatlan károkat (teljes kompromittáció) tud okozni a rendszereden.
Egy alkalmazás - jó esetben - csak normál userként fog majd elindulni, tehát kevesebb kárt is tud okozni. Ráadásul az sem elég, ha csak feltelepíted, el is kell indítani! Ami - ismét csak jó esetben - manuális beavatkozást igényel részedről.
(ezért is aggályos pl a debian működése: hogy bármit amit telepítesz azt azonnal el is indít)
persze, vannak olyan progamok amit eleve root-ként (és /vagy service-ként) futnak, de ezek esetében elvárható lenne hogy különös figyelmet/ellenőrzést kapjanak a disztó karbantartóitól...
Ezt a logikát követve belátható, hogy egy (bármilyen 3rd party) repó hozzáádása a rendszerhez teljes bizalmat igényel a karbantartója felé - attól függetlenül, hogy milyen alkalmazásokat terjeszt benne.
Sőt, egy extra repó-ból könnyedén felül lehet írni a distró által biztosított - és általad megbízhatónak ítélt - programokat (akár fő rendszer komponenseket is!) is. Mert a repó tartalma bármi lehet, neked afelett (sajnos) nincs kontrolod.
szerintem.