Provo a rispondere alle domande anche se non è facile, e ciò che dico è una mia idea non confermata da verifiche personali, salvo qualche eccezione in passato per repository di "Contributors", quindi in teoria un po' più affidabili di quelli completamente unofficial o di terze parti (come ppa o sviluppatori "estranei" alla distribuzione).
1) Di norma, un repository che ti mette a disposizione dei binari, dovrebbe metterti anche a disposizione il sorgente del pacchetto alla stessa versione. Puoi verificarlo con "apt source" (o dagli RPMS lato RH*) ed eventualmente compilarlo o confrontarlo con i binari,
2) Non possiamo .. Se il repository è popolarmente conosciuto ed utilizzato, ed ha un mantainer attivo in forum frequentati (come in un certo senso affermi tu stesso nella tua domanda del punto 3), ci possiamo "fidare" per via della popolarità, ma ovviamente a mio parere una garanzia assoluta non possiamo avercela..
3) In un certo senso, vedi il punto 1. Se c'è un mantainer attivo, appena viene aggiornato il sorgente, dovrebbe mettere a disposizione in tempi brevi anche il binario per le varie architetture che vuole distribuire. Se non ha il repository dei sorgenti dei pacchetti di cui distribuisce i binari, dovrebbe esplicitare con chiarezza l'origine del sorgente da cui è stato prelevato e compilato (es. github, ecc.), con versione e data di aggiornamento.