Per i file che scarichi da internet, in qualsiasi formato siano, dal punto di vista sicurezza, possono essere tutti potenzialmente pericolosi

. Chi ti dice che Mandrake o Red Hat non abbiano inserito delle backdoor ?
Scherzi a parte, ogni file che scarichi, in particolare in formato RPM, deve essere firmato e la firma corrispondere a chi lo rilascia. Parlando quindi strettamente dal lato 'sicurezza', i pacchetti di aggiornamento del sistema dovrai scaricarli dai mirror 'certificati' dalla distribuzione che usi.
Per quanto riguarda gli altri programmi, devi 'fidarti' di chi li distribuisce. In particolare, il rilascio anche dei sorgenti è già un buon indice di 'sicurezza': hai sempre la possibilità di rigenerare i pacchetti dai sorgenti dopo magari averli attentamente verificati e testati.
E con questo ho risposto anche parzialmente alla seconda domanda Infatti, utilizzare come 'sistema di sicurezza' il fatto di non far conoscere il codice sorgente è il primo passo per essere violati. Chi cerca una falla, la trova, indipendentemente dal codice sorgente o no. La falla scoperta viene resa pubblica dopo molto tempo (all'inizio è di appannaggio a pochi ed ai loro interessi) e la patch ancora dopo molto tempo. Si pensi ai vari bachi di IE. Una delle forze dell'open source e del mondo di Linux in generale è proprio questa. Chi mi critica dicendo che ogni giorno esce una patch per Linux (inteso come pacchetti che compongono una distribuzione) rispondo che questo è Linux: si scopre un errore e subito vi si pone rimendio. In altri casi, si scopre un errore e.... dopo sei mesi lo risolvono (spesso creandone un'altro).
bye