Das Pakete nach dem Livestellen nochmals geändert oder gar manipuliert werden ist schon schlimm genug. Wenn dann aber die Änderungen nicht zu finden sein sollen, verstehe ich es nicht. Jeder Publish Zeitpunkt kann doch wohl im CVS oder ähnlichem mit einer Versionsmarke versehen werden, da muß man doch die Differenzen finden können.

Die Programmierer räumen allerdings auch ein, die entdeckten Änderungen nicht vollständig nachvollziehen zu können.

Außerdem sind Prüfsummen alleine auch kein Allheilmittel, da diese meist auf dem gleichen Server wie das Paket liegen. Wer dann schon das Paket ändern konnte, der kann auch gleich noch die Website dazu manipulieren. Aber dazu hatte ich schon vor vielen Jahren einen Projektversuch gestartet, allerdings noch ohne Echo. Man sollte es mal wieder anwerfen, aber wer kümmert sich schon freiwillig um Sicherheit?

Schade drum.