Author

Topic: Compilazione da sorgenti open-source? (Read 973 times)

member
Activity: 130
Merit: 10
The LIX Platform - lixcoin.org
January 02, 2018, 06:19:31 PM
#5
E' da un po' che mi frulla per la testa questa domanda e non ho mai avuto il coraggio di porla. Ma ho bisogno di risposte e quindi eccovela:

Tipicamente un eseguibile o altro progetto di cui si vuole lasciare visionabile e modificabile il codice sorgente viene accompagnato dalla pubblicazione del relativo codice open-source. Ma che certezze ci sono che quell'eseguibile sia stato EFFETTIVAMENTE compilato a partire dal quel codice? Non si potrebbe far credere che derivi da quel codice pubblico mentre in realtà è stato compilato da quel codice "modificato" con altre entry?

Grazie per le risposte costruttive.

Non vi e' certezza, ma se ti compili il codice da solo la hai (ceteris paribus, ovviamente)
full member
Activity: 284
Merit: 112
November 22, 2017, 08:56:50 PM
#4
In tutta la mia vita non sono ancora riuscito a compilarmi un codice sorgente da solo. Ciò, visto quanto dite, è abbastanza deprimente.
full member
Activity: 478
Merit: 113
October 28, 2017, 03:56:38 PM
#3
E' da un po' che mi frulla per la testa questa domanda e non ho mai avuto il coraggio di porla. Ma ho bisogno di risposte e quindi eccovela:

Tipicamente un eseguibile o altro progetto di cui si vuole lasciare visionabile e modificabile il codice sorgente viene accompagnato dalla pubblicazione del relativo codice open-source. Ma che certezze ci sono che quell'eseguibile sia stato EFFETTIVAMENTE compilato a partire dal quel codice? Non si potrebbe far credere che derivi da quel codice pubblico mentre in realtà è stato compilato da quel codice "modificato" con altre entry?

Grazie per le risposte costruttive.

In teoria l'eseguibile messo a disposizione dal dev è stato fatto partendo dal codice sorgente pubblicato... se vuoi essere sicurissimo al 100% puoi compilarlo tu stesso o chiedere ad un amico fidato di farlo per te.
legendary
Activity: 3276
Merit: 2898
July 28, 2017, 07:13:29 AM
#2
E' da un po' che mi frulla per la testa questa domanda e non ho mai avuto il coraggio di porla. Ma ho bisogno di risposte e quindi eccovela:

Tipicamente un eseguibile o altro progetto di cui si vuole lasciare visionabile e modificabile il codice sorgente viene accompagnato dalla pubblicazione del relativo codice open-source. Ma che certezze ci sono che quell'eseguibile sia stato EFFETTIVAMENTE compilato a partire dal quel codice? Non si potrebbe far credere che derivi da quel codice pubblico mentre in realtà è stato compilato da quel codice "modificato" con altre entry?

Grazie per le risposte costruttive.

premesso che nella vita di certo non c'e' nulla, fondamentalmente tu ti "fidi" di quelli che fanno la compilazione.
(ente o persona). E a garantirti (anche qui con un certo margine di rischio) che la compiazione sia stata
fatta da un certo ente/ persona e' il fatto che l'eseguibile (o la tarball) e' firmata digitalmente,
e tu puoi verificare la firma digitale.

Tutto questo detto, ti faccio notare un po' di cose se ami gli esercizi di paranoia.

1) Lo stesso ente o persona che fa la compilazione (e quindi firma l'ok) potrebbe essere stato vittima
di una manomissione (senza dubbio sofisticata ma possibile), e quindi certificare una cosa che non e' quella che pensano.

2) altre persone potrebbero essere entrate in possesso delle chiavi per firmare, e quindi
fondamentalmente certificare un eseguibile falso

3) gli stessi sorgenti, anche se li compili da solo, dovresti ogni volta VERIFICARE che sono
esattamente quelli che ti aspetti... quindi ogni volta li dovresti ristudiare riga per riga per essere
certo che sono quelli...

4) ma anche se cosi' fosse, potrebbe darsi che hai un editor con un particolare codice malevolo
che non ti fa vedere i sorgenti giusti...

5) o anche il compilatore potrebbe avere un codice malevolo che per certi sorgenti ti genera un
codice particolare in certi casi...

6)....

Ognuno di questi eventi ha probabilita' esigua, ma non sono impossibili.
Come ti dico, se entri in questi circoli di paranoia, non ne esci vivo.



hero member
Activity: 2268
Merit: 709
July 26, 2017, 01:42:45 AM
#1
E' da un po' che mi frulla per la testa questa domanda e non ho mai avuto il coraggio di porla. Ma ho bisogno di risposte e quindi eccovela:

Tipicamente un eseguibile o altro progetto di cui si vuole lasciare visionabile e modificabile il codice sorgente viene accompagnato dalla pubblicazione del relativo codice open-source. Ma che certezze ci sono che quell'eseguibile sia stato EFFETTIVAMENTE compilato a partire dal quel codice? Non si potrebbe far credere che derivi da quel codice pubblico mentre in realtà è stato compilato da quel codice "modificato" con altre entry?

Grazie per le risposte costruttive.
Jump to: