Hallo zusammen
Hab mir schon länger mal überlegt, wer eigentlich sicherstellt dass OpenSource Software wie z.B. diverse LinuxApplikationen in der vorkompilierten Version auch tatsächlich dem angebotenem Source entspricht.
Also ein frustierter DownloadServer Admin kompiliert einen Kernel mit Hintertürchen und ersetzt den bestehenden auf dem Server. Oder man übernimmt ein Repository für die zukünftige maintenance (weil sonst niemand will) und bastelt im source für das binary anderes rein als in der öffentlichen source im Download sichtbar ist.
Kann man eine solche Modifikation bemerken so mit sha256 oder md5?
Ist rein zur Neugier, denke aber da gibts sicherlich bereits eine Lösung
Gruss
lod
SourceCode vs Vorkompiliert
Re: SourceCode vs Vorkompiliert
Ein Ansatz:lod hat geschrieben:29.06.2018 19:01:27Hab mir schon länger mal überlegt, wer eigentlich sicherstellt dass OpenSource Software wie z.B. diverse LinuxApplikationen in der vorkompilierten Version auch tatsächlich dem angebotenem Source entspricht.
https://wiki.debian.org/ReproducibleBuilds
https://reproducible-builds.org/
Ansonsten kennt zumindest rpm ein "Verify", um zu überprüfen, ob alles noch dem installierten Paket entspricht:
https://www.centos.org/docs/5/html/5.1/ ... fying.html
Ob es ähnliches bei Debian/deb gibt entzieht sich meiner Kenntnis.
Re: SourceCode vs Vorkompiliert
owl102 hat mit Reproducible Builds schon das passende Stichwort fuer Debian geliefert.
Falls darueber hinaus noch Interesse am allgemeineren Thema des Vertrauens auf korrektes Arbeiten von Software besteht, dann sollte man sich Ken Thompsons Turing Award Lecture ``Reflections on Trusting Trust'' zu Gemuete fuehren.
https://www.ece.cmu.edu/~ganger/712.fal ... ompson.pdf
Falls darueber hinaus noch Interesse am allgemeineren Thema des Vertrauens auf korrektes Arbeiten von Software besteht, dann sollte man sich Ken Thompsons Turing Award Lecture ``Reflections on Trusting Trust'' zu Gemuete fuehren.
https://www.ece.cmu.edu/~ganger/712.fal ... ompson.pdf
Use ed once in a while!
Re: SourceCode vs Vorkompiliert
Spannende Antworten. Vorallem den Kompiler selbst zu kompromitieren, der dann gleich pauschal Löcher "einkompiliert"...was sogar bei Max OSX resp XCode schon tatsächlich vorkam...immer wieder spannend auf was für Ideen die Leute kommen.
Vielen Dank für die Links!
Vielen Dank für die Links!