web-dev-qa-db-fra.com

Existe-t-il un moyen de vérifier un binaire contre les sources?

Il semble qu'il n'y ait pas de moyen pratique de Vérifier le chemin d'intégrité complet de logiciels précompilés et emballés? Je peux vérifier le paquet téléchargé lui-même par hashes, mais je n'ai aucune vérification si les binaires compilés représentent réellement le code source public?

N'y a-t-il même pas une solution théorique pour ce problème? Dans le meilleur des cas, une manière qui pourrait être automatisée?

Peut-être le décompiler et comparer la sortie ou les hachages avec quelque chose que le fournisseur de logiciels offre-t-il?

20
flori

Le concept de constructions reproductibles semble offrir une solution à ce problème. Au moins un théorique.

Cela signifie que chaque course d'un processus de construction (ou de compilation) doit renvoyer la sortie identique, étant donné que la source d'entrée était la même.

Avec elle, chaque binaire nouvellement publié pourrait être vérifié par moi ou une autre si elle représente vraiment le code source qu'il prétend représenter.

Cependant, il n'y a que quelques projets (en février 2017) qui ont mis en œuvre ce concept dans leurs processus de construction déjà (principalement des systèmes d'exploitation). Donc, dans la plupart des cas, cette solution est toujours théorique.

1
flori