> Со встроенной машиной времени или алкающие сертификации патчат _все_ сиссемы сборки всех
> исходников, чтобы те, не оставляли следов времени на локальных часах сборочницы
> в результирующих бинарях?Да, со встроенной машиной времени -) По крайней мере, в МСВС используется специальный модуль ядра для обеспечения пересобираемости, который в том числе заставляет системные часы "тикать" определенным образом - так, что на момент вызова каждой утилиты из сборочных скриптов часы имеют такое же время, как и на предыдущей пересборке. Патчить сборку пакетов приходиться, но редко, и не сильно.
> Или запросто кладут готовые .rpm в .srpm?
Разработчик, имеющий совесть, это не сделает никогда. А сертификационная лаборатория следит за тем, что бы все разработчики совесть имели. Как правило, реально следит.