> Тут дело в доверии к репозиториюда недоверяй, пажалуста. Ты пакеты-то с под него ставить собираешься, или где?
Если собираешься, кудыть ты денешься без ключа?
Не ставить пакетов - как будем вручную удовлетворять прожорливую зверушку, зависимую разом от ruby, go (а то одного ruby что-то мало показалось), nodejs (а то недостаточно хипстерски) и хз еще чего, плюс мильен модулей/библиотек/как оно там еще в них всех называется, причем все это существует в единственно-правильной версии без штатных возможностей отката и каких-либо представлений о совместимости, "живи сегодняшним днем" ?
Ну и репо и даже его ключ можешь в принципе-то после установки хоть совсем выпилить - что толку, коли чудище огло, озорно, стозевно уже всю твою разработку пожрало и лайя?
Кто, где, чего и как в ем наскриптовал - проверить сил человеческих не хватит. Лучше уж оставить - оно хотя бы, может быть, апдейтиться будет.
Проблема что кто-то из их разработчиков вредный и завел себе теперь шелл на твоем сервере - ничто, по сравнению с тем, кто кто-то мог быть просто неаккуратный, и оно все сдохнет так, что и бэкап не поможет, за два дня до какого-нибудь глобального релиза.
Вот сам сервер, где это все крутится, действительно следует обматывать колючей проволокой в два ряда, снаружи и изнутри. А бояться запускать на нем что-либо, подсунутое разработчиками - поверь, пустое. Бояться надо было, когда выбирали это решение.
Но альтернатив такого размера, в общем, действительно, наверное, один платный гитхаб. Если хочется денег никому не платя, сохранить хотя бы видимость контроля за инфраструктурой (своего) проекта - наверное, и вариантов нет.