Мешает коллективная разработка. Попробует, например, IBM внедрить какой-нибудь шпионский патчик в ядро -- тут же поднимут шум Red Hat, Novell, Торвальдс. И наоборот.
Для проверки соответствия пакетов эталонным существуют контрольные суммы MD5, которые публикуются и хранятся в репозиториях. И менеджеры пакетов сверяют контрольную сумму скачанного пакета с той, что есть в репозитории.