A questão se refere aos repositórios “não-oficiais”, ou “não-garantidos”, ou… etc. ─ que existem para os usuários de muitas distros diferentes.
No Kubuntu, por exemplo, você encontra esses repositórios:
-
Main - Programas “oficialmente suportados”.
-
Restricted - Programas “suportados”, cuja licença não é 100% livre (por exemplo, drivers Nvidia).
-
Universe - Programas mantidos pela comunidade, ou seja, que não são suportados diretamente pela equipe da Canonical ─ mas estão lá porque a equipe aceita e, de algum modo, supervisiona.
-
Multiverse - Programas que não são “livres” (por exemplo, Flashplugin, Fontes True Type).
(Essas definições podem não ser 100% corretas. Foi uma simplificação que fiz em 2015, quando ainda entendia bem menos do que hoje).
E fora disso tudo, existem os PPAs, por exemplo ─ repositórios “pessoais” de desenvolvedores, embora hospedados por uma infraestrutura fornecida pela própria Canonical (acho). ─ Nenhuma “supervisão” oficial. O risco é seu. Entenda-se com o desenvolvedor! ─ Se você migra para outra versão Buntu, nada garante que um pacote de PPA continue compatível.
No openSUSE, você encontra pacotes adicionais no repositório Packman. No Fedora, você encontra “algo mais” no repositório rpmFusion. ─ São opções. Não vêm configurados. Cabe ao usário ativá-los.
No openSUSE Leap, recomenda-se fortemente desabilitar o Packman, antes de iniciar o upgrade de uma versão para outra; e depois do upgrade, reinstalar o que você precisa. No Tumbleweed, cada “atualização” é um upgrade completo, e nunca mais pensei nisso.
No Fedora, nem lembro se é recomendado desabilitar o rpmFusion ou não. Sigo em frente sem pensar nisso.
Os riscos podem ser maiores ou menores, pois não existe uma equivalência exata, entre distros diferentes. ─ São só exemplos, cada um com suas características.
O Arch não tem esse tipo de repositório “meio-amigável”. Em vez disso, tem logo o AUR ─ Arch User Repos. ─ Ou seja, a coisa é “8 ou 80”, sem graduações.
O AUR é muito amplo, pois milhares de usuários avançados se dedicam a construir pacotes que não existem no repositório oficial do Arch.
Nenhuma “autoridade” vigia se são seguros. O risco é de quem quiser usá-lo. ─ Supõe-se que o usuário do Arch saiba se cuidar.
Na verdade, o gerenciador de pacotes do Arch (pacman) nem lida com pacotes do AUR. ─ Mais do que “apenas ativar” o AUR, o usuário precisa, primeiro, construir uma ferramenta (pamac, yay etc.) para lidar com ele. ─ A barreira também é maior, portanto.
O Manjaro já vem com o pamac ─ inclusive, uma versão GUI, molinha, facinha de já começar a usar.
De qualquer modo, prudência, dinheiro no bolso e canja de galinha não fazem mal a ninguém. ─ Quanto mais abusar, maiores os riscos. ─ Uso o mínimo possível, disso tudo, e se possível evito usar.
Obs.: - Não me refiro (acima) aos Flatpak, AppImage, Snap2, pois são casos à parte.