L'argument n'est pas idéalement juste, mais le raisonnement est logique. Il tient peu pres dans ces mots.
Rust (comme Java) fournit des dépendances sans fournir la moindre garantie de qualité ou d'innocuité de ces dépendances. Autrement dit, c'est votre responsabilité de valider que les dépendances que vous sont saines. Dans la plupart des cas, évidement, les dépendances que vous utilisez ne sont pas des vecteurs d'attaque.
Mais en fait, ça n'est pas leur faute si vous vous faites trouer. Si vous voulez que ce soit leur responsabilité, PAYEZ DES CONTRATS DE MAINTENANCE. Le monde ne peut pas forcer l'open-source à fournir des logiciels sous contrat sans payer.

Je cherchais comment ne pas écrire trop de relations moi-même ... Et j'ai trouvé la réponse !

Un point très intéressant sur les relations avec les GCP/AWS/Azure en tant que client : ils s'en foutent littéralement de perdre des clients, parce qu'ils en ont trop.

"Tomber amoureux, c'est accepter que l'autre nous pénètre, même quand on est un homme" l'art de la formule

J'en ai déja entendu parler, et je trouve le phénomène fascinant