On Mon, Dec 10, 2018 at 09:31:29PM +0000, Giacomo wrote:
Stefano il tuo riferimento a Debian mi fa pensare se distribuire solo software in formato sorgente non possa mitigare fortemente i rischi di manomissione.
Naturalmente con il software attuale questo comporterebbe un notevole incremento del tempo di installazione (e probabilmente anche un costo energetico/ecologico maggiore visto che la compilazione verrebbe effettuata ad ogni installazione).
A mio avviso esiste un best of both worlds: ovvero build riproducibili byte-by-byte, nel senso di https://reproducible-builds.org/ Così hai i sorgenti (per audit pubblico) e puoi anche con una certa fiducia usare binari precompilati, basandoti sull'ipotesi che un certo numero di persone nella tua comunità di riferimento (o anche progetti di audit indipendenti) facciano l'esercizio di ricompilare/verificare, ed eventualmente fare un gran casino quando c'è un mismatch. Molte distribuzioni e package manager ci stanno lavorando da un po' di anni, con ottimi risultati. (Disclaimer: sono nello steering committee di reproducible-builds.org, e quindi decisamente di parte.) -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »