“而使用 Linux 系统，你可以在选择更新时通过签名检查进行严格的细粒度控制，大多数的发行版在系统更新时都默认强制安全检查。这种责任感源自于 Linux 系统的开源开发模式所带来的透明度。”  鬼扯！如果发行版的仓库没有提供包，那么用户只能用第三方的，但是第三方真的能够值得信任吗？如果用的是 http 下载，那理论上无论是包文件还是校验信息，统统都能被拦截替换成有问题的。对于那些第三方只提供源码包，用户是否有足够能力，精力，时间去验证源码，所以无论源码是否托管在什么网站，即便是 github 这样知名网站，依然存在被利用的