Почему все верят исходникам?

Question

[Vyacheslav Kondrashov]

Рассмотрим Telegram. Все качают .exe с официального сайта Telegram'a, при этом мы можем собрать собственный Telegram из исходников на GitHub'е, которым мы все доверяем. В итоге малая часть собравших приложение из исходников имеет стопроцентно чистый код, но почему все те, кто качнул .exe уверены, что их приложение собрано из такого же кода, как на GitHub'e? Получается за счёт исходника в каком-то репозитории проект зарабатывает уйму репутации, а скачиваемый с сайта проект с другим кодом пожинает плоды этой самой репутации? Может я чего-то не понимаю и существуют какие-то гарантии того, что скачиваемый проект точно такой же, как в репозитории?

Comments

[dollar]

А почему люди доверяют строителям своего дома? А вдруг там стандарты не соблюдены, ошибки в расчетах у архитектора, и дом может обрушиться при определенных погодных условиях?

[Евгений Шатунов]

dollar,

А вдруг там стандарты не соблюдены, ошибки в расчетах у архитектора, и дом может обрушиться при определенных погодных условиях?

А, собственно, почему "вдруг"? Показать, как дом в три проектных этажа на деле может иметь семь этажей и сгореть по всей крыше из-за грубейших нарушений прокладки электросети, лишив этим множество семей честно купленного крова?

[Василий Банников]

Вопрос некорректен, тк не все верят исходникам. А иногда верят не исходникам.

Answer 1

[CityCat4]

и существуют какие-то гарантии того, что скачиваемый проект точно такой же, как в репозитории?

Нет. Выкладка исходников и сборочной документации, где описано, как собрать проект - это и есть эта самая гарантия. Тот, кто реально заморачивается безопасностью - тот не просто соберет из исходника, он сначала проведет ревизию кода, а уже потом соберет. Правда таких среди пользователей телеги напрмер - вряд ли больше сотой доли процента.
Обычно выкладка сырцов означает, что ты можешь, если захочешь проверить исходники на отсутствие закладок и собрать из них проект.

Comments

[Владимир Коротенко]

У телеги есть подобие вм, так что верифицировать нужно и всю серверную часть. А ее не выкладывают.

Answer 2

[Saboteur]

1. При необходимости аудита, это можно проверить - сборка многих проектов из тех же самых исходников приводит к бинарной идентичности. Плюс разные версии хранятся долго - при желании, всегда можешь сам перепроверить, а некоторые даже перепроверяют.

2. Никто не верит слепо. Ну точнее может кто-то верит, а кто-то нет. Но именно поэтому проекты с исходниками получают дополнительный бонус - кто опасается, может скачать не бинарник, а исходники и собрать сам.

3. Проекты с открытым исходным кодом, априори могут жить дольше - если вдруг автору надоест поддерживать проект, любой может форкнуть исходники и продолжить разработку, или как минимум скомпилить под более новую версию ОС.

Comments

[Василий Банников]

Пункт 3 для телеграма не особо актуален. Клиент имеет малую ценность без сервера. А реализовать протокол телеграма - всё равно что создать новый мессенджер с нуля.

[pfg21]

сделать сервер по протоколу с открытым описанием на порядок проще, чем продумать с нуля хороший протокол, а потом к нему накодить комплект сервер/клиент :)

есть куча опенсорц проектов которые подхватывали другие кодеры после бросания авторами.

Answer 3

[iBird Rose]

Ну пример ты привел плохой. Так как телега очень популярная. Там уже работает система репутации. Им просто нет смысла что-то подсовывать в билд. Так как это будет ощутимый удар по репутации.
Ну а когда дело касается малых проектов - да. Лучше проверять все самому.

Answer 4

[Леонид]

если скачивать с официального сайта а не откуда попало то конечно соответствуют. Но подавляющее количество пользователей телеграма понятия не имеют о существовании гитхаба и что там исходники телеграма. поэтому и не парятся