Как проверить открытые исходники?

Question

[Константин]

Сам не программист, поэтому интерес сугубо академический.

Есть проекты с открытым исходным кодом. Например телеграмм или тор. Или ещё что-нибудь. Предполагается, что код не содержит бэкдоров, явных ошибок и прочего мусора т.к. любой может его исследовать и сообщить об этом разработчикам или пользователям. Но есть ли какая-нибудь гарантия, что непосредственно скачиваемое приложение/программа/etc собраны именно из этих открытых исходных кодов, а не каких-то других? Как это проверяется?

Comments

[Денис Инешин]

Скачайте исходники, да скомпилируйте сами)

Answer 1

[MiiNiPaa]

Если это кому-то важно, то они сами собирают из исходников. Гарантий дать невозможно, помимо репутации того, кто собирает.

Единственные гарантии которые можно получить, это что ты скачал то самое, что было выложено разработчиком.

Comments

[Константин]

То есть нет никакого механизма, который позволяет собрать приложение, посчитать над ним контрольную сумму и сравнить с тем, что выложили разработчики?

[Fixid]

Константин: нет, замена даже одного параметра при компиляции меняет CRC

[Константин Нагибович]

Константин: разработчик сам может посчитать контрольную сумму и указать ее. Вы после сборки сами считаете ее и сверяете с эталонной.

[Вадим Мисбах-Соловьёв]

Fixid: Вообще-то, есть. У дебиана была целая тонна костылей для повторяемости сборки. Там воссоздаётся целый билдрут, вплоть до патчей на компилятор.

Но сборка получится долгой

// короче, проще просто Gentoo использовать :)

[Fixid]

Вадим Мисбах-Соловьёв: это то понятно, я же про общий случай

Answer 2

[littleguga]

Не совсем так. Для подтверждения используются PGP ключи. Да, доверие к подписи строится только на доверии к разработчику.

Подробнее вот: https://www.opennet.ru/docs/RUS/rpm_guide/100.html

Например, вот: https://openvpn.net/index.php/open-source/download...