Você deve confiar nos repositórios reais do Debian para este propósito. Isso é tudo sobre software de código aberto e a comunidade. Existem milhares de empresas e indivíduos que confiam no Debian seus dados. Se um pacote se comportar mal intencionalmente (como se alguém tivesse injetado um código malicioso), é muito difícil que isso passe despercebido. Até mesmo passa pelo processo de testes, que também é mantido pela comunidade. Uma vez que cause algum problema em algum lugar, isso será uma grande notícia e a comunidade corrigirá rapidamente o problema. Pense nisso como uma versão mais robusta da Wikipedia, se pudermos fazer essa analogia ...
Se você está realmente preocupado e não quer seguir tal modelo, você pode ir para uma distribuição linux paga com manutenção e suporte reais, se isso faz você se sentir mais confiante. Redhat sendo um bom exemplo para isso.