![オープンソースアプリケーションが実行中であると主張するオープンソースコードを実行しているかどうかはどうすればわかりますか? [コピー]](https://linux33.com/image/160008/%E3%82%AA%E3%83%BC%E3%83%97%E3%83%B3%E3%82%BD%E3%83%BC%E3%82%B9%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%8C%E5%AE%9F%E8%A1%8C%E4%B8%AD%E3%81%A7%E3%81%82%E3%82%8B%E3%81%A8%E4%B8%BB%E5%BC%B5%E3%81%99%E3%82%8B%E3%82%AA%E3%83%BC%E3%83%97%E3%83%B3%E3%82%BD%E3%83%BC%E3%82%B9%E3%82%B3%E3%83%BC%E3%83%89%E3%82%92%E5%AE%9F%E8%A1%8C%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E3%81%8B%E3%81%A9%E3%81%86%E3%81%8B%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%8F%E3%81%8B%E3%82%8A%E3%81%BE%E3%81%99%E3%81%8B%EF%BC%9F%20%5B%E3%82%B3%E3%83%94%E3%83%BC%5D.png)
アプリケーションパッケージのチェックサムを確認できると主張できますが、開発者は正しいコードをコンパイルし、正しい署名を提供したと信頼しています。
これを不信に検証する方法がありますか、それとも不可能ですか?
ありがとうございます!
答え1
もしあなたなら本物確かに、ソースから直接プログラムを構築するよりも良いことはありません...
しかし、一般的に言えば、あなたはあなたのディストリビューションがソフトウェアの「正しいバージョン」をパッケージ化して配布すると信じています。これは展開選択の一部です。これらのパッケージに配布固有のパッチ(たとえば、以前のバージョンのソフトウェアのセキュリティ修正プログラムバックポート)があることはまれではありません。ただし、ディストリビューションは、オペレーティングシステム全体とより多くのパッケージをインストールする手段を提供することを信頼するディストリビューションです。
この信頼ロジックに基づいて、リポジトリからインポートされたパッケージの署名を確認するだけで十分です(通常は自動的に実行されます)。
そのようなソフトウェアを信頼していない場合は、Linuxカーネル、グラフィックサーバー、またはWebブラウザについて考えてください。