> weshalb vertraust einer Distribution mehr wie dem Upstream?
Andersrum wird übrigens auch ein Schuh draus: Projekt X verwendet eine z.B. veraltete, unsichere oder lokal gepatchte JQuery-Bibliothek. Ich möchte aber ein signiertes ungepatchtes Original von Upstream. D.h. wenn Projekt X eine Verbesserung oder eine Fehlerkorrektur macht, dann soll Projekt X bitte mit dem JQuery-Team zusammenarbeiten und nicht den Andwender die Scheiße ausbaden lassen.
Übrigens gibt es tatsächlich Umgebungen, in denen Code Audits, Pentests usq. "vorkommen"...
Nachtrag:
> weshalb vertraust einer Distribution mehr wie dem Upstream?
Andersrum wird übrigens auch ein Schuh draus: Projekt X verwendet eine z.B. veraltete, unsichere oder lokal gepatchte JQuery-Bibliothek. Ich möchte aber ein signiertes ungepatchtes Original von Upstream. D.h. wenn Projekt X eine Verbesserung oder eine Fehlerkorrektur macht, dann soll Projekt X bitte mit dem JQuery-Team zusammenarbeiten und nicht den Andwender die Scheiße ausbaden lassen.
Übrigens gibt es tatsächlich Umgebungen, in denen Code Audits, Pentests usq. "vorkommen"...