![오픈 소스 애플리케이션이 실행 중이라고 주장하는 오픈 소스 코드를 실행하고 있는지 어떻게 알 수 있나요? [복사]](https://linux55.com/image/160008/%EC%98%A4%ED%94%88%20%EC%86%8C%EC%8A%A4%20%EC%95%A0%ED%94%8C%EB%A6%AC%EC%BC%80%EC%9D%B4%EC%85%98%EC%9D%B4%20%EC%8B%A4%ED%96%89%20%EC%A4%91%EC%9D%B4%EB%9D%BC%EA%B3%A0%20%EC%A3%BC%EC%9E%A5%ED%95%98%EB%8A%94%20%EC%98%A4%ED%94%88%20%EC%86%8C%EC%8A%A4%20%EC%BD%94%EB%93%9C%EB%A5%BC%20%EC%8B%A4%ED%96%89%ED%95%98%EA%B3%A0%20%EC%9E%88%EB%8A%94%EC%A7%80%20%EC%96%B4%EB%96%BB%EA%B2%8C%20%EC%95%8C%20%EC%88%98%20%EC%9E%88%EB%82%98%EC%9A%94%3F%20%5B%EB%B3%B5%EC%82%AC%5D.png)
애플리케이션 패키지의 체크섬을 확인할 수 있다고 주장할 수 있지만 개발자가 올바른 코드를 컴파일하고 올바른 서명을 제공했다고 신뢰합니다.
이를 불신하게 검증할 수 있는 방법이 있나요, 아니면 불가능한가요?
감사해요!
답변1
만약 너라면진짜확실히, 소스에서 직접 프로그램을 구축하는 것보다 더 좋은 것은 없습니다...
그러나 일반적으로 말해서 귀하는 귀하의 배포판이 소프트웨어의 "올바른 버전"을 패키지하고 배포할 것이라고 믿습니다. 이는 배포 선택의 일부입니다. 이러한 패키지에 배포별 패치(예: 이전 버전 소프트웨어의 보안 수정 사항 백포트)가 있는 것은 드문 일이 아닙니다. 그러나 배포판은 전체 운영 체제와 더 많은 패키지를 설치할 수 있는 수단을 제공하는 것으로 신뢰하는 배포판입니다.
이 신뢰 논리에 따라 저장소에서 가져온 패키지의 서명을 확인하는 것만으로도 충분합니다(일반적으로 자동으로 수행됨).
그러한 소프트웨어를 신뢰하지 않는다면 Linux 커널, 그래픽 서버 또는 웹 브라우저에 대해 생각해 보십시오...