Rozšíření je podepsané tím, kdo výsledný balíček sestavuje – typicky vývojář rozšíření. Distribuční balíček je také podepsaný tím, kdo ho sestavuje – a nezřídka je to také vývojář té aplikace. V obou případech dotyčný má ručit za bezpečnost. Že distribuční správce nesmí přidávat features nikdo nekontroluje, děje se to – a pokud featuru vhodně pojmenuje („backport opravy“), dokonce to po něm všichni chtějí. Pochybení se dá zpětně dohledat také v obou případech – jak u distribučního balíčku, tak u rozšíření. Nevím, jestli „prosím vás, nemohl by si někdo tento balíček vzít na starost, kdokoli, je to jednoduché“ je netriviální proces…
To, že se software aktualizuje několikrát týdně, je normální – akorát distribuce to moc nezvládají. Změnu funkcionality hlídá jen vývojář, správce balíčku nikoli. Prodat balíček může i distribuční správce.
Samozřejmě se bavíme o „nezajímavých“ balíčcích – VIP balíčky typu Apache nebo OpenSSL mají jinou péči (třeba je distribuční správci „vylepšují“ bezpečnostními chybami, že…), ale zákeřný kód může být v jakémkoli balíčku.