So überprüfen Sie, ob eine Binärdatei tatsächlich mit einer bestimmten Version von Git Commit/Release und nicht mit einer geänderten Version erstellt wurde.
Bei kleinen Projekten können wir es selbst erstellen, aber bei großen Projekten wie benutzerdefinierten Android-ROMs stellt sich die Frage, wie überprüft werden kann, ob der Build wirklich aus einer angeblichen Git-Version stammt?
Bearbeiten: Open-Source-Binärdateien können nicht signiert werden, da diese kostenlos sind. Die Downloads stammen von einem Drittanbieterstandort.
Antwort1
Kann nicht erwarten, dass Open-Source-Binärdateien signiert werden, da diese kostenlos sind.
Hier besteht kein Widerspruch: Auch das Signieren ist kostenlos. Ich glaube allerdings nicht, dass das hilft, denn jemand könnte in böswilliger Absicht aus geänderten Quellen etwas erstellen und dann die Binärdatei signieren. Das Signieren funktioniert also nur, wenn Sie dem ursprünglichen Ersteller vertrauen und sicherstellen möchten, dass die Binärdatei tatsächlich das ist, was er bereitgestellt hat, und keine geänderte Version.
Es klingt, als ob Sie suchenreproduzierbare Builds. Damit dies funktioniert, muss das Projekt auf einem Technologie-Stack und einer Toolchain basieren, die reproduzierbare Builds unterstützen. Wenn das nicht der Fall ist, haben Sie Pech gehabt. Wenn das der Fall ist, können Sie es selbst erstellen und die Ergebnisse vergleichen. Sie haben Recht, dass dies bei großen Projekten möglicherweise nicht praktikabel ist. Leider geht Sicherheit oft auf Kosten der Benutzerfreundlichkeit.
Es ist erwähnenswert, dass Sie letztlich auch darauf vertrauen, dass dieToolchain ist nicht bösartig. Dasselbe gilt für die Hardware, auf der Sie bauen. Sie müssen jemandem vertrauen, es sei denn, Sie sind bereit, die Hardware selbst zu bauen und die gesamte Toolchain zurückzuentwickeln.