> Вообще-то эта идея - фундамент, основа и гарантия качественной софтовой экосистемы. Только за счёт мантейнеров возможно проверка что вам прилетает ожидаемый софт, а не шифровальщик, что он вообще работает, и интегрируется с системой.

Это ерунда основанная на вере. Для меня меинтейнер - это ненужная прослойка между мной (потребителем) и разработчиком софта. Причем эта "прослойка" делает такие патчи которые считает нужным, не всегда обсуждая с авторами, что они там пропатчили чтобы в их конкретном велосипедном дистрибутиве заработало.
Никакой меинтейнер не мешает глупому пользователю скачать шифровальщик и запустить его от рута, кроме систем мандатного контроля, песочниц или накрайняк баз данных с хешами известных шифровальщиков, но и это не помогает на 100%, а вот то что не помогает от слова СОВСЕМ, так это вахтёрша пересобирающая пакеты.

> Изоляция не работает и никогда не будет, потому что чтобы она работала ею нужно управлять на уровне доступа к отдельным хостам/урлам, и каталогам/файлам, заниматься этим никто не будет, а без этого получим рeшето - rss читалка которой разрешен доступ в сеть начнёт спам по форумам писать, а блокнот которому разрешили доступ в хомяк зашифрует там все файлы.

В других операционных системах где есть пользователи, это делают и это помогает от модификации ключевых системных файлов (targeted policy) опять же SELinux есть и он работает. Если вы себе поставили блокнот, или rss-читалку, то вы должны сами должны им доверять или использовать сигнатуры и хеши от поставщика, которому доверяете. Есть разница между шифрованием одного единственного хомяка и компрометацией всей системы и всех хомяков за этим нужна изоляция. Опять же, человеческий фактор тут только мешает.