… Paketmanager verwenden:
> https://brew.sh
Dort kommen alle Source- und Binärpakete von der Originalquelle. Das wird im Vier-Augen-Prinzip geprüft.
Zugegeben: gegen böswillige/kompromittierte Entwickler hilft das nix. Immerhin schließt es dubiose MacUpdate-Trittbrettfahrer effektiv aus.
Ich hab das gerade mal kurz geprüft. In den knapp 10.000 Pakete schweren Kern-Repos kommen gerade mal drei Pakete von MacUpdate – das sind genau die drei Fälle, wo die Entwickler keine andere Quelle anbieten:
$ grep -lFR --include '*.rb' --exclude-dir 'cmd' \
macupdate.com \
"$(brew --repository)/Library/Taps"/{caskroom,homebrew} \
| xargs basename
macupdate.rb
safarisort.rb
startninja.rb
Gegenprobe:
$ grep -LFR --include '*.rb' --exclude-dir 'cmd' \
macupdate.com \
"$(brew --repository)/Library/Taps"/{caskroom,homebrew} \
| wc -l
9814
(Full Disclosure: ich helfe dem Projekt gelegentlich mit Pull Requests und Patches aus.)