Use freebsd-update para atualizações do sistema binárias oficiais.
Quando você faz upgrade de pacotes de portas (por exemplo, com "portsnap" e "portmaster" como eu), os arquivos fonte dos pacotes são assinados com checksums SHA256 e verificados antes da compilação, então eu não me preocuparia com isso.
Já que parece que você está muito ciente da segurança, eu iria compilar portas de fontes assinadas se eu fosse você de qualquer maneira.