उबंटू अपनी मशीन पर एक पैकेज संकलित करने के लिए सुविधाजनक साधन प्रदान करता है। हालांकि, यह जांचने का कोई तरीका नहीं है कि आपके द्वारा डाउनलोड किए गए बाइनरी पैकेज में निष्पादन योग्य उस स्रोत कोड से प्राप्त किया गया है। उबंटू द्वारा उपयोग की जाने वाली हस्ताक्षर प्रक्रिया तृतीय-पक्ष छेड़छाड़ के जोखिम को संकुल के साथ काफी कम कर देती है, लेकिन आपको अभी भी यह विश्वास करना होगा कि संकलन स्रोत से पहले डाउनलोड किए गए संकलन में कोई हानिकारक कोड नहीं जोड़ा गया है।
कारण यह है कि संकलित पैकेजों में ठीक वैसा ही बायनेरिज़ प्राप्त करना बहुत कठिन है, क्योंकि ये सटीक कंपाइलर संस्करण, इसके विकल्प पर निर्भर करते हैं, और शायद बाइनरी में संकलित कुछ पथ या पर्यावरण चर भी हैं। तो आप अपने आप को संकलित करते समय ठीक उसी बाइनरी को प्राप्त करने में असमर्थ होंगे, जो डाउनलोड किए गए बाइनरी को "सत्यापित" करेगा।
वास्तव में इस समस्या के आसपास एक छोटा सा शोध समुदाय है - संकलन प्रजनन योग्य कैसे बनाया जाए।
कहा जा रहा है कि, डाउनलोड किए गए बाइनरी की एक मैनुअल तुलना और एक स्व-संकलित जोड़ा गया / संशोधित कोड का पता लगा सकता है , इसलिए यह किसी व्यक्ति के लिए बायनेरिज़ और स्रोत कोड को बायनेरिज़ में छिपाने के लिए जोखिम भरा होगा, क्योंकि यह पता लगाया जा सकता है।
लेकिन फिर भी संकलक पर भरोसा करने की समस्या है, जैसा कि पहले ही उल्लेख किया गया है ...
apt-get source
, या अपने स्वयं के संकलन के लिए उपयोग कर सकते हैं। इस प्रश्न को देखें: askubuntu.com/questions/28372/…