Ja, der letzte Satz trifft es schon ganz richtig, im Grunde ist das einfach noch immens schwer. Im Prinzip ist hier aber die Antwort: wir müssen jemandem Vertrauen, in diesem Fall vertrauen wir der Rust Foundation, dass diese keinen kompromittierten Compiler(-SourceCode) ausliefern und wir müssen den Sicherheitsmechanismen der Paketverteilungssystemen vertrauen - mehr ist realistisch, nach unserer Einschätzung, kaum möglich.