La falla ahimé è stata scoperta in anticipo per un'enorme botta di fortuna, da un ricercatore che stava studiando un problema in nessun modo legato alla sicurezza di OpenSSH. Siamo stati molto fortunati e andranno fatti sicuramente molti ragionamenti su come ci si potrà difendere da attacchi di questo tipo.

"Clonare è sicuro" non è assolutamente detto, parte del payload era nel tar solo perché solitamente meno controllato rispetto al repo, ma è solo stata un'accortezza aggiuntiva degli attaccanti che potrebbero tranquillamente non metterla in pratica. Detto questo dipende tutto da cosa fa il mantainer che usa la dipendenza e da come la integra nella sua codebase.