Von kamome umidori am So, 24. Juni 2018 um 19:26 #
Ich _vermute_, dass es doch wesentlich besser wird: Wenn die Reproduzierbarkeit automatisiert überprüft wird, musst du nur dieser Automatisierung des Distributors trauen, die Dir garantiert, dass der veröffentlichte Quellcode den veröffentlichten Binaries entspricht. Außerdem kann das nun auch jeder selbst nachprüfen. Sorgfältige Audits (mehrere) der veröffentlichten Quellen sind natürlich dennoch nötig, um „sicher zu gehen“. So reproduzierbar über mehrere Architekturen hinweg stelle ich mir auch das Ausnutzen von eventuell bösartigen Prozessor-Features aufwändiger vor.
Ich _vermute_, dass es doch wesentlich besser wird: Wenn die Reproduzierbarkeit automatisiert überprüft wird, musst du nur dieser Automatisierung des Distributors trauen, die Dir garantiert, dass der veröffentlichte Quellcode den veröffentlichten Binaries entspricht.
Außerdem kann das nun auch jeder selbst nachprüfen. Sorgfältige Audits (mehrere) der veröffentlichten Quellen sind natürlich dennoch nötig, um „sicher zu gehen“.
So reproduzierbar über mehrere Architekturen hinweg stelle ich mir auch das Ausnutzen von eventuell bösartigen Prozessor-Features aufwändiger vor.