您可以争辩说您可以检查应用程序包的校验和,但您随后信任开发人员已编译正确的代码并提供正确的签名。
有没有一种方法可以不可信地验证这一点,或者这是不可能的?
谢谢!
答案1
如果你真的需要确定的是,没有什么比自己从源代码构建程序更好的了......
但是,一般来说,您相信您的发行版会为您打包和分发“正确版本”的软件。这是发行版选择的一部分。这些软件包具有特定于发行版的补丁(例如,向后移植软件早期版本的安全修复程序)的情况并不少见。但是,您的发行版是您信任的为您提供整个操作系统以及安装更多软件包的方法的人。
遵循这种信任逻辑,检查从存储库获取的包的签名(通常是自动完成的)应该就足够了。
如果您不信任这样的软件,请考虑一下您的 Linux 内核、图形服务器或 Web 浏览器......