オレンジが言いたい事としては、それってどれが本物であり(そもそも本物ってなんだ?><;)、ダウンロードした物がソースであれば稲荷であれ悪意のあるコードが含まれているかいないかをそのユーザー個人が判断不可能な物であれば、そこらのOSSなソフトウェアでも同様に同様の問題があるよね?><
例えばLinuxの何らかのメジャーなディストリビューションを使用している場合に、そのディストロの公式のパッケージ管理システムのリポジトリ以外を使用してはいけない、ソースコード単体でgithubなりなんなりから持って来てビルドするのももってのほかと言うのであれば、それは筋が通るかも><