Topic: Compilazione da sorgenti open-source? (Read 936 times)

Non vi e' certezza, ma se ti compili il codice da solo la hai (ceteris paribus, ovviamente)

In tutta la mia vita non sono ancora riuscito a compilarmi un codice sorgente da solo. Ciò, visto quanto dite, è abbastanza deprimente.

In teoria l'eseguibile messo a disposizione dal dev è stato fatto partendo dal codice sorgente pubblicato... se vuoi essere sicurissimo al 100% puoi compilarlo tu stesso o chiedere ad un amico fidato di farlo per te.

premesso che nella vita di certo non c'e' nulla, fondamentalmente tu ti "fidi" di quelli che fanno la compilazione.
(ente o persona). E a garantirti (anche qui con un certo margine di rischio) che la compiazione sia stata
fatta da un certo ente/ persona e' il fatto che l'eseguibile (o la tarball) e' firmata digitalmente,
e tu puoi verificare la firma digitale.

Tutto questo detto, ti faccio notare un po' di cose se ami gli esercizi di paranoia.

1) Lo stesso ente o persona che fa la compilazione (e quindi firma l'ok) potrebbe essere stato vittima
di una manomissione (senza dubbio sofisticata ma possibile), e quindi certificare una cosa che non e' quella che pensano.

2) altre persone potrebbero essere entrate in possesso delle chiavi per firmare, e quindi
fondamentalmente certificare un eseguibile falso

3) gli stessi sorgenti, anche se li compili da solo, dovresti ogni volta VERIFICARE che sono
esattamente quelli che ti aspetti... quindi ogni volta li dovresti ristudiare riga per riga per essere
certo che sono quelli...

4) ma anche se cosi' fosse, potrebbe darsi che hai un editor con un particolare codice malevolo
che non ti fa vedere i sorgenti giusti...

5) o anche il compilatore potrebbe avere un codice malevolo che per certi sorgenti ti genera un
codice particolare in certi casi...

6)....

Ognuno di questi eventi ha probabilita' esigua, ma non sono impossibili.
Come ti dico, se entri in questi circoli di paranoia, non ne esci vivo.

E' da un po' che mi frulla per la testa questa domanda e non ho mai avuto il coraggio di porla. Ma ho bisogno di risposte e quindi eccovela:

Tipicamente un eseguibile o altro progetto di cui si vuole lasciare visionabile e modificabile il codice sorgente viene accompagnato dalla pubblicazione del relativo codice open-source. Ma che certezze ci sono che quell'eseguibile sia stato EFFETTIVAMENTE compilato a partire dal quel codice? Non si potrebbe far credere che derivi da quel codice pubblico mentre in realtà è stato compilato da quel codice "modificato" con altre entry?

Grazie per le risposte costruttive.