Post #15

#think Reproducible Build 扫盲：如何证明你的二进制文件是用这段代码编译的？ ★简介 今天想到一件事，如果我下载了一个开源应用的安装包和应用程序，如果这个应用不是用这套代码编译的怎么办？ 今天就分享这个方法。 ★为什么这么重要？ 如果您下载的应用程序被植入了后门，而源代码却没有后门，这会让您误以为该软件是安全的。 ★什么是可重现构建？ 可重现构建（洋文：Reproducible builds）是一个编译过程，目的是让每次生成的二进制文件都一样。 有相当多的软件支持可复制构建，例如 Telegram（不一定，详见这里）、Tor 浏览器、Debian 等。 当然，有些软件不支持可重现构建，并且有一定的要求，比如代码中不记录编译日期，尽可能在最纯净的环境中编译等。 ★普遍方法 clone一个编译版本的仓库源码，按照指南编译，与下载的二进制文件对比。 ★提醒 仍然需要 code review ★延伸阅读 Reproducible-builds.org 投票：如果一个开源项目提供了可以使用的二进制文件，你会下载并运行它还是自行编译？@比特随想的频道 频道维护者引用链接的页面内容仅供参考，不代表维护者的立场。