>предвижу появление скомпрометированных репозиториев (вероятнее всего не основных а содержащихся разработчиками программ
>или некими одиночными мантейнерами) - если сама программа с очевидностью будет
>выполнятся не от рута то установка оной вероятна именно от рута Все придвидят. Советую серверы (если Вы администрируете серверы) обновлять с локального зеркала, и поставить в крон скрипт, который будет синкать репозиторий, и посылать Вам на почту изменения в новых пакетах (мы так делаем), что бы не ставить на серверы то, что выглядит подозрительно.
А поменять нормальный файл на потрояненный можно и без всяких скриптов (так что предосторожность совершенно лишняя)