Як правило, пакети підписуються ключем GPG і перевіряються після завантаження перед встановленням. Публічний ключ GPG для перевірки або встановлений разом з системою, або встановлюється при першому підключенні до репозиторію (за згодою користувача). Після того як ключ імпортований, вже не важливо як саме отриманий пакет, аби лише підпис був вірний.
На жаль, люди часто не розуміють цієї системи і тому репозиторії створені сторонніми особами можуть мати непідписані метадані або пакети, тому до них треба ставитися з особливою уважністю.
Щодо Rust, то є ж команда cargo vendor, для збірки без підключення до мережі.
