Насчет 29 разработчиков - это ошибка перевода (или же самих release notes). Разработчиков у pkg сейчас двое - это я и bapt. Про SAT - это также ошибка сообщения о релизе и надмозга, для полного представления, что и как делалось, советую ознакомиться с моей презентацией на BSDCAN: https://github.com/vstakhov/pkgng-presentation. Там же есть планы на pkg 1.4: https://github.com/vstakhov/pkgng-presentation/blob/master/p... Про sandboxes ответ прост: ряд операций, например, распаковка файла, полученного из репозитория, может быть потенциально небезопасной. Поэтому до проверки сигнатуры все такие операции изолируются.
Насчет libucl, я согласен, что довольно странно было упоминать ее в Release Notes, потому что это довольно-таки внутренняя кухня pkg. История с ней была простой: я думал, как сделать json с человеческим лицом для другого своего проекта - rspamd. И идеи, которые я реализовал в ucl, нашли применение в pkg. К слову, pkg сейчас использует обычный json для внутреннего описания пакетов.
P.S. извиняюсь за убогое квотирование исходного сообщения, но я не понял, как тут делать правильно.