>с тем же успехом внедрят код через тысячи сишных зависимостейНет. Не с тем же. Сишные зависимости совместимы на уровне API, а растовые - на уровне прибытых гвоздями версий, а сменишь чуть-чуть - полпрограммы перепиши. Отсюда и 10 версий одного и того же - не будут же расты свои высеры под самую последнюю версию зависимости переписывать. Эти 10 версий - каждую отдельно аудировато надо. Сишные зависимости поставляются дистром и обновляются им самим, а растовые - культом карго и статически линкуются. Прибивка гвоздями версий и статическая линковка породила такую культуру, такая культура - сделала невозможной переход к правильной культуре разработки, где версия у либы строго одна - последняя, а линковка - строго динамическая, а либа совместима на уровне интерфейса, а на деле может иметь совершенно другую реализацию, и даже если реализация не совершенно иная - к ней всё равно могут быть дистроспецифичные патчи, в которых бэкдор выпилен, если апстрим придуривается.