Se você tem medo da fonte, que é o que a sua pergunta implica, não há como confiar no software.
A solução é parar de temer a fonte.
Para fazer isso, você pode se concentrar no fato de que dentre milhares, provavelmente milhões, de projetos de software de OSS, o número de projetos que foram infectados e que o código infectado foi aprovado e fundido na base de código principal é nulo. p>
Você também pode se concentrar na lógica do problema: devido ao grande número de olhos passando por cada parte do código, e as chances extremamente baixas de que um número suficiente desses olhos seja comprado pelos fabricantes de malware para forçar o código nefasto a ser incluído, a probabilidade de que um código inválido tenha sido transformado em uma ferramenta como essa também é nula.
Por essas razões, tento me ater a ferramentas de OSS respeitáveis, bem recomendadas, bem suportadas e ativamente desenvolvidas para software crítico. Em todas essas situações, estamos jogando com chances. E, embora as probabilidades padrão sejam extremamente baixas, as chances de um projeto de software ativo ser infectado são ainda menores do que o padrão.