To je věčná otázka. Na stránkách výrobce je aspoň jakás takás jistota, že ta, neni nic navíc (jen to, co tam dal výrobce, což mnohdy nemá k virům tak daleko). Zrovna ten akrobat ale je sbírkou bloatware aniž by k němu bylo něco přibalené. Obecně je nejlepší stahovat co nejblíže stránkám tvůrce. Ty většinou nebudou mít koncovku cz, pokud to zrovna není český sw. Ale klidně ji mít můžou, pokud si to zaregistroval tvůrce programu (u mozily by se to dalo čekat) a ne jejich fanoušci. A teď aby se v tom prase vyznalo, protože stačí když si nějaký záškodník zaregistruje stejnou doménu s nějakou drobnou odchylkou (třeba ve slově mozila nahradí písmeno o písmenem o z azbuky, které vypadá stejně, ale je to úplně jiné písmeno). Takže je potřeba si nějak ověřit, že soubor je opravdu autentický (tomu by měl pomoct digitální podpis) a nepoškozený (kromě m$ který jako důkaz nepoškozenosti radí zkontrolovat velikost, jestli odpovídá jimi udávané, ostatní tvůrci zveřejňují nějaký hash (md5, sha a podobně) který musí vyjít stejný jinak je jasné, že je soubor vadný (opačná jistota sice neni stoprocentní, protože těžko lze vtěsnat megabajty do pár písmenek, ale poškození přenosem by to mělo zachytit a má se za to, že nikdo se současnou technikou nedovede v rozumné době vytvořit konfliktní soubor, tj. soubor, který by měl stejný hash i když by byl jiný)).
Nevím jak to funguje v soudobých windowsech (poslední mám sedmičky), ale v linuxu je dobré hledat nejdřív v repozitářích (appstore, správce software). Je to nejjednodušší cesta (zvlášť pokud někdo není v takových věcech zběhlý), ale setkal jsem se už několikrát, že tam byly příliš historické verze (u většiny věcí to nevadí, ale třeba takový youtube-dl je opravdu nepoužitelný, pokud je 3 roky starý).