Parece que se ha vuelto más fácil y, por lo tanto, más común que el software se implemente simplemente sacándolo de un repositorio git, en lugar de hacerlo a través de versiones de lanzamiento. Esto hace que sea difícil saber qué problemas de seguridad pueden existir.
Me pregunto si podría ser posible una solución genérica, al etiquetar objetos git de varios tipos como inseguros, permitiendo que una versión verificada se compare con problemas de seguridad conocidos en el repositorio ascendente de manera genérica.
¿Ya se han explorado tales enfoques?