Erre nagyon egyszerű a megoldás: nem kell overlayeket használni, vagy legalábbis ismeretlen overlayeket, amikben nem bízol.
Ez igaz az AUR-ra is, azt se kotelezo hasznalni (sot ha jol tudom, az ilyen yaourt meg yay meg tarsai mai napig nincsenek benne a hivatalos arch tarolokban, kezzel kell kulon lepeseket tenned hogy tokon tudd loni magad, ellentetben gentooval ahol anno a layman, most meg az eselect-repository benne van a hivatalos gentoo repoban). A hivatalos arch tarolokba ott se tud barki barmit bekuldeni, a lebuildelt packagek ott is ala vannak irva gpg-vel.
Es az AUR az megis csak egy kozpontositott valami, ha valaki kartekony kodot tolt oda fel azt ki lehet huzni, gentoo overlayek meg random git repok random szervereken, ott max amit tudnak csinalni hogy a hivatalos listabol leszedik a nem megbizhato overlayeket, de ha egyszer valaki mar hozzaadta a sajat gepehez, a repo ott lesz leklonozva es updatelve.
A Portage csomagok nem tartalmaznak előre lefordított binárisokat. A Gentoo mindent forrásból fordít, így nem lehet csendben becsempészni egy rosszindulatú előre fordított binárist, mint az *-bin AUR csomagoknál.
Ez szimplan nem igaz, gentooban is van egy adag -bin csomag (meg az xz ota valoszinuleg mindenki tudja hogy a source tarball se minden esetben az aminek latszik...).