L'argument n'est pas idéalement juste, mais le raisonnement est logique. Il tient peu pres dans ces mots.
Rust (comme Java) fournit des dépendances sans fournir la moindre garantie de qualité ou d'innocuité de ces dépendances. Autrement dit, c'est votre responsabilité de valider que les dépendances que vous sont saines. Dans la plupart des cas, évidement, les dépendances que vous utilisez ne sont pas des vecteurs d'attaque.
Mais en fait, ça n'est pas leur faute si vous vous faites trouer. Si vous voulez que ce soit leur responsabilité, PAYEZ DES CONTRATS DE MAINTENANCE. Le monde ne peut pas forcer l'open-source à fournir des logiciels sous contrat sans payer.