Извините, но программы в репозиторий тоже откуда-то попадают.
Они, всё же из первоисточника попадают, с сайта разработчика. Там тоже не панацея конечно, но это не абы кто что-то похожее куда-то закинул. Плюс засланец и в тим пожет просочиться в теории, но вероятность поменьше, как мне кажется.
Но, в данном случае, речь была не об этом, а именно о репозитории PyPI, где уже готовые питоновские пакеты. Он источником для подготовки своих пакетов не служит.