Gibt es keine andere Möglichkeit als auf das Binary zurückzugreifen kann man ggfs. noch Scans durch entsprechende Plattformen auf der gebauten Software laufen lassen, 100%ige Sicherheit geben diese aber trotzdem nicht.
Das einzige was man hier selber machen kann ist das ganze vom Source Code selbst zu kompilieren , sofern man weiß wie dies funktioniert.
Hier sieht man dann sehr schnell ob etwas nicht stimmt und zudem ist der Source Code meistens clean , nur andere Versionen können ein problem werden.
Aber ich stimme dir zu das es die 100%ige Sicherheit gibt es nicht wirklich.
Das stimmt natürlich, ja. Nur können das vermutlich 99,9% der Leute nicht, die die Software verwenden wollen (oder haben die dazu nötigen Compiler zur Hand und/oder wollen sich diese überhaupt installieren). Es gibt ja Bestrebungen, dass man Github-Releases nur über durch bspw. Github Actions gebaute Binaries/Stände herunterladen kann, aber auch hier kann man nicht sichergehen, dass kein Schindluder getrieben wurde und bspw. in den Actions versteckt gefährliche Routinen reingeschmuggelt werden könnten. Ein deutlicher Schritt nach vorne wäre es aber allemal!