> Эталонный пример "свое гoвно не пахнет"Вам виднее. Мне приходится использовать Debian, так что как раз пахнет.
> Так чем доверие к бинарю хуже доверия к сорцу от одного и того же человека?
От какого одного? Вы потрудились вообще понять о чём речь идёт? Люди, вообще-то, разные - автор апстрима и пакаджер. Мы говорим о доверии к последнему, и предполагаем что оного нет. В случае портов, мне не составит труда лично просмотреть все порты что я собираюсь установить на предмет закладок, потому что это считанные килобайты текста. По этой же причине его смотрят и десятки других людей. Всё прозрачно и безопасно. В случае же бинарного пакета я никак не могу проверить и то что там троян никогда не узнаю.
> Если вы не доверяете майнтайнеру - наверное и сорц от него получать не следует и указания для сборки. Мало ли чего он туда запихнет. Вы будете аудитить все 1000 софтин, составляющих систему? Сомнительно - на это времени дофига надо.
Написано выше.
> Для начала у некоторых толком нет никакого сколь-нибудь сильного integrity check на предмет того что скачалось вообще то и с правильного сервака
Да что вы такое говорите. Контрольные суммы исходников проверяются почти с самого момента появления портов - с 1994 года, целостность самого дерева портов - со времени появления portsnap (2006 год). Недавно (с появлением pkg) начали проверяться подписи бинарных пакетов, но как я уже показал, толку от таких подписей мало. Конечно, FreeBSD - не дебиан, где пакеты заливает непойми кто; они всё-таки собираются централизованно без участия человека, но от компрометации инфраструктуры это не спасёт.