Cuando descargues solo el binario, entonces no puedes. Debe confiar en el distribuidor del binario que, de hecho, está compilado a partir del código fuente publicado.
Si considera que el desarrollador es confiable pero no está seguro de poder confiar en un espejo de descarga, entonces tenga en cuenta que muchos desarrolladores publican hashsums de sus binarios, por lo que cuando descarga el binario de un espejo no confiable, puede validarlo comprobando el hash Sin embargo, esto supone 1. que el binario es el compilado por el desarrollador y no una compilación independiente por el distribuidor, y 2. que el desarrollador no es el que quiere arruinar a las personas al lanzar un binario compilado de un diferente Código fuente de lo que él está publicando.
Cuando quieras asegurarte de que el binario que obtienes está realmente compilado desde la fuente, debes obtener el código fuente y compilarlo tú mismo. Esto podría llevar bastante tiempo con proyectos más complejos.
Pero es cuestionable si realmente vale la pena desde el punto de vista de la seguridad, porque el hecho de que el código fuente sea público no significa que esté libre de puertas traseras. Hay el concurso de código C poco inteligente con muchos ejemplos creativos de cómo ocultar el código fuente malicioso a simple vista. Cuando desee un ejemplo más real: el error del corazón fue una vulnerabilidad que existió durante años en una pieza muy utilizada De software de código abierto y nadie se dio cuenta. No hay razón para creer que fue una puerta trasera intencional, pero cuando hubiera sido intencional, el hecho de que esté en un código público y no se haya introducido de contrabando en un binario daría a quien lo había planteado la negación plausible.