Sembra essere diventato più facile, e quindi più comune per il software da distribuire semplicemente controllandolo da un repository git, piuttosto che passare attraverso le versioni di rilascio. Ciò rende difficile sapere quali potrebbero essere i problemi di sicurezza a monte.
Mi chiedo se una soluzione generica possa essere possibile, taggando gli oggetti git di vari tipi come non sicuri, consentendo di confrontare una versione verificata con noti problemi di sicurezza nel repository upstream in modo generico.
Sono già stati esplorati approcci di questo tipo?