Supondré que quiere decir que está compilando (pero no ejecutando) código no confiable que podría ser malicioso y le preocupa que su cadena de herramientas de compilación esté siendo explotada.
La respuesta es que no, no creo que sea una buena idea. En general, los compiladores no son seguros de usar con entradas no confiables.
En primer lugar, está el propio código fuente. No menciona qué idioma está importando desde github, pero si es C / C ++ (por ejemplo), puede estar sujeto a un ataque del preprocesador. Si bien no estoy seguro de que esto sea posible, no veo ninguna razón por la que no debería ser así. Sin embargo, dicho esto, hay sitios en línea de "compilador como servicio" que compilarán código arbitrario, por lo que quizás sea (o pueda hacerse) seguro.
Sin embargo, hay mayores preocupaciones que el compilador, ya que los tipos de archivos arbitrarios pueden bajar a través de github. Por ejemplo, no hay nada que impida que un Makefile malicioso haga cosas desagradables, lo que es definitivamente posible, o un proyecto de Visual Studio que especifique un script malicioso "precompilación".
Sobre el tema de Visual Studio (supongo que estás usando una cadena de herramientas make / gcc, pero mencionaré VS por completo, y porque conozco la respuesta) debes saber que MS afirma que incluso cargar símbolos de depuración maliciosos es un riesgo de seguridad, y que el enlazador de Visual Studio no se considera seguro contra código malicioso. Un google rápido encuentra este aviso que no menciona ningún parche está disponible.
Habiendo dicho todo esto, no he oído hablar de que esto haya sucedido antes, así que supongo que depende de tu tolerancia al riesgo. Yo no lo haria Si se trata de una compilación automatizada, podría ser posible crear una cuenta de usuario desechable (tomando pasos adicionales si se pretende que su fuente se mantenga en secreto).