Mi sembra di capire che il passaggio delicato è che github genera per ogni versione un sorgente che viene preso come "stampo" per compilare i vari binari per le varie distribuzioni quindi se questo viene corrotto non ci se ne accorge finchè non arriva qualche sintomo.
Potrei dire delle castronerie ma mi chiedo se ci sia un modo per ogni distribuzione di verificare il sorgente che vanno a pacchettizzare risalendo tutti i commit o che so io mha...