オープンソースアプリケーションが実行中であると主張するオープンソースコードを実行しているかどうかはどうすればわかりますか? [コピー]

オープンソースアプリケーションが実行中であると主張するオープンソースコードを実行しているかどうかはどうすればわかりますか? [コピー]

アプリケーションパッケージのチェックサムを確認できると主張できますが、開発者は正しいコードをコンパイルし、正しい署名を提供したと信頼しています。

これを不信に検証する方法がありますか、それとも不可能ですか?

ありがとうございます!

答え1

もしあなたなら本物確かに、ソースから直接プログラムを構築するよりも良いことはありません...

しかし、一般的に言えば、あなたはあなたのディストリビューションがソフトウェアの「正しいバージョン」をパッケージ化して配布すると信じています。これは展開選択の一部です。これらのパッケージに配布固有のパッチ(たとえば、以前のバージョンのソフトウェアのセキュリティ修正プログラムバックポート)があることはまれではありません。ただし、ディストリビューションは、オペレーティングシステム全体とより多くのパッケージをインストールする手段を提供することを信頼するディストリビューションです。

この信頼ロジックに基づいて、リポジトリからインポートされたパッケージの署名を確認するだけで十分です(通常は自動的に実行されます)。

そのようなソフトウェアを信頼していない場合は、Linuxカーネル、グラフィックサーバー、またはWebブラウザについて考えてください。

関連情報