PKGBUILDs são apenas scripts bash. Eles são projetados para serem legíveis.
O Wiki do Arch tem um guia para as diferentes funções e o que você deve esperar em cada um deles.
Variações estranhas aqui, particularmente nas funções prepare ou install , devem ser escrutinadas cuidadosamente. A remoção de arquivos ou instalações que tocam $HOME ou $PATH devem ser tratados com suspeita e totalmente investigados.
Estes incluem validpgpkeys e checksums de integridade, que garantem que a origem que você baixa é válida. O Makepkg irá avisá-lo se algum destes falhar, isso seria uma grande bandeira vermelha para não prosseguir.
Você também pode ler os padrões do Arch Packaging para entender como os PKGBUILDs devem ser criados.
Quanto à fonte upstream atual, supondo que seja válida, essa é uma chamada que só você pode fazer. Há softwares mal-intencionados em estado selvagem, mas os usuários confiáveis fazem um excelente trabalho ao mantê-los do AUR. Se você estiver usando PKGBUILDs de outras fontes, estará sozinho.
Há também PKGBUILDs quebrados por meio do empacotador erro que pode ter consequências catastróficas. Portanto, faz sentido lê-los, sempre que possível, antes de executá-los.