Hey, grundsätzlich verlässt man (also wir auch) sich darauf, dass die Community derartiges frühzeitig erkennt und einschlägige Quellen etwaige Hintertüren sehr schnell öffentlich sichtbar machen. Wir beobachten natürlich diese Quellen. Solche Dinge sind bereits in der OpenSource Welt passiert, aber der "bösartige Entwickler", der kompromittierten Code pushed, ist ein Problem mit dem jedes Software Projekt zurecht kommen muss - OpenSource macht es hier noch am leichtesten solchen Code schnell zu identifizieren.