Как известно, в свободное ПО разработчику труднее внести вредоносный код, чем в проприетарное. Исходный код доступен широким массам, и, если он содержит вредоносные возможности (например, несанкционированно сливает персональные данные разработчику, или содержит тайм-бомбы (привет, isdenerzent)), это рано или поздно станет известно народу.
Но очень малый процент пользователей собирает ПО из исходников. Подавляющее большинство пользуется готовыми сборками от автора или мейнтейнера дистрибутива. Так вот, насколько сложно проверить, не добавил ли сборщик зловред?
Допустим, есть программма, собранная разработчиком при помощи GCC. Разработчик предоставил информацию, какой версией gcc она собрана, с какими параметрами сборки, какие версии заголовочных файлов линкуемых библиотек использовались. Есть исходный код конкретно этой сборки. Реально ли нам на другом компе собрать бинарник, который будет побитово идентичен тому бинарнику, который распространяет разработчик?
вторник, 03 сентября 2019
И это всё МОЁ