Вы столкнулись с общей проблемой в Inte rnet, которая заключается в следующем: как компании, которые разрешают общедоступным публикациям c публиковать произвольный контент, определяют, что контент подходит для некоторой ценности, подходящей? Ответ в том, что в общем случае вы не можете заранее определить, подходит ли контент таким образом. (Для компьютерных программ это из-за проблемы остановки.)
GitHub действительно предоставляет возможность сканирования на наличие известных уязвимостей на определенных языках, но по очевидной причине, просмотр ограничен администраторами хранилища. В противном случае общий подход заключается в удалении действительно вредоносного контента, когда он становится заметным, что на самом деле является лучшим, что может быть сделано с учетом обстоятельств.
Если вы получаете свой код из надежного источника, например Linux distro, это, вероятно, из авторитетного проекта, который можно безопасно запускать. В противном случае вы можете не запускать код от неизвестных авторов или предпочитать проверять зависимости, установленные менеджером пакетов вашего языка, чтобы убедиться, что вы используете только известные пакеты доверенными членами сообщества. Конечно, это только защитит вас от реального вредоносного программного обеспечения, а не от программного обеспечения с хорошей репутацией, в котором могут быть ошибки безопасности; для этого вам следует часто применять обновления безопасности.