http://wiki.archlinux.de/?title=AUR
gibt ja schon einige Hinweise.
Im AUR gibt es ja schon mal eine Grobunterteilung ("sichere" Pakete vs. "unsichere"
Pakete). Da ja jeder Pakete in's AUR einstellen kann ist natürlich die Möglichkeit
groß das "Mist", "Fehler", "Schadsoftware" inkl. Code beim Bauen drin wäre.
Als root also das Paket zu bauen - was ja das unkontrollierte Aufrufen von Skripts,
kompilieren von Code und auch Installieren (wenn auch ins fakeroot) bedingt - ist
IMHO nicht sehr klug.
Das Bauen würde ich also definitiv als Normal/Spezial-User machen, am besten
auf einem separaten Rechner. Ich habe eine virtuelle Maschine dafür, was meine Rechner
auch von "Kompilier-Müll" freihält.
Das Installieren des Paketes braucht dann natürlich Root-Rechte.
Was ein Paket wohin installiert ist eigentlich durch Arch-Richtlinien bzw. das LFHS
geregelt. Wie man ein Paket ggf. bedient sollte sich auf der Homepage (die ja meist
im PKGBUILD angegeben ist) oder auch im Source-Dir beim Bauen (Readme,Install)
erkennen lassen.
Da die gebauten *.pkg.tar.gz-Pakete ja normale Archive sind läßt sich deren Inhalt
auch mit den gebräuchlichen Archiv-Programmen/Tools betrachten.