to all
Primo, сам по себе прецедент вставки пусть и призывов или иной "левой" функции в opensource-проекты заставляет задуматься о других векторах атак. С другой стороны, чего ждать от софта, который пилят энтузиасты и проверяют такие же энтузиасты сообщества? Как говорится, софт предоставлен "as is" - все остальное проблемы эксплуатантов...
Secundo, анализировать ручным методом каждый патч или весь исходник - это, конечно, нереально. Но есть готовые средства автоматизации такого процесса (как минимум статические/динамические анализаторы кода на предмет выявления уязвимостей + песочницы по методу "черного ящика" + сравнение КС между пакетом из репозитория и пакетом, собранным вручную из исходников и т.д.)...
Tertio, если в ОС, имеющей все сертификаты всех наших регуляторов по максимальным классам защиты (SE-редакция), внезапно появятся библиотеки/пакеты/файлы/функции, не относящиеся к заявленному функционалу (особенно, в части защиты информации) пусть и без явного вреда, - полетят головы. Конечно, возможны варианты "прикрытия мягких мест", но, imho, внимание к ALSE сейчас слишком пристальное, чтобы халявить...
Quatro, к CE-редакции предыдущий пункт рассуждений, разумеется, не относится. Вообще не понимаю, как сейчас ее можно юзать при условии, что реализация (разработка, сопровождение, продажа и т.д.) данной ОС фактически заморожено и все изменения носят скорее косметический характер...
Last, с недавних пор РБТ даже инфу об устранении конкретных уязвимостей в ALSE в общем доступе не публикует. Также модуль экстрасенсорики подсказывает, что в части соблюдения GPL и иных международных соглашений все повторяет небезызвестную ситуацию с МСВС (что на текущий момент, imho, оправдано, учитывая сложившуюся международную ситуацию). Поэтому ждать ответов на подобные вопросы конкретно на форуме (да и от техподдержки, т.е. не от руководства РБТ), imho, бессмысленно...