> нет, последнее время они держат гит-репы - вероятнее всего, изначально клоны оригиналов
> (не проверял), с напиханными в них своими мусорными деталями.

Может вы от греха подальше сперва все-таки проверите, прежде чем объяснять мейнтейнеру Дебиан что он что-то там "напихивает"?

В orig ничего не пихается.  Единственная известная мне причина модификации оригинального архива - если там с лицензиями проблема, чтобы в non-free не попасть.  При этом, как минимум, из архива должны _выпихивать_ нечто, а не наоборот.

> почти разумный подход был у rpm, когда ничего никогда не переименовывалось,
> архив запаковывался внутрь src.rpm (и можно signed) и был с ним

Ничего разумного в потакании помойке нету.  Если можно навести какую-никакую стандартизацию, то почему нет?

> попробуй потом угадай из чего

Зачем гадать?  apt-cache search, apt-get download...  Какую уж такую страшную проблему составляет преобразование "-" в "_" - теряюсь в догадках.

>> Ну, оно ж туда не откуда-нибудь попадает, а от мейнтейнера пакета.
> а это кто? Вот и я говорю - студент с излишком свободного времени, осиливший написать rules.
> Или поправить две строки в брошенном предыдущим (поскольку тот выпустился и нанялся
> в орацле), что чаще теперь бывает. Скан паспорта и резюме с
> пяти прошлых мест работы у кандидатов не требуют.

Знаний стандартов проекта покуда таки требуют.  Плюс еще ftp-masterы есть.  Даже если у вас есть право загрузить пакет - не значит, что он попадет в архив.

>> А зачем людям надо работу машины делать?  Если апстрим подписывает как-то архив или хоть
>> чексуммы выкладывает
> то достаточно захватить его сайт, чтобы выложить что-то свое. Чексуммы пересчитает скрипт
> в недрах сайта, "зачем работу машины делать".

Вы не поняли.  Есть какой-то проект.  Никто не мешает ему выпускать релизы, подписывая их открытым ключем, например.  Если апстрим такое делает - у мейнтейнеров Debian есть штатные средства для автоматической проверки целостности при импорте архива.   Если апстрим не чешется, чтобы такую возможность своим пользователям предоставить - у них ее и не будет, включая Debian.

> хрен-с-горы подписал, всьо чотко. Это ж не репо дистрибутива, где ключей один-два-три и не
> больше, и там действительно возникают вопросы, если подписать другим. Это интернет,
> где подписей больше чем времени на их детальные проверки

И с этим есть решение.  Есть Web of Trust Дебиана.  Ничто не мешает апстриму стать туда включенным.

Ну а если ничего подобного авторы софтины не делают - да, действительно, возможны все прелести с захватом сайта и т.д.  Бдительных мейнтейнеров на безалаберных авторов софта не напасешься, увы.