Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

"Reproducible builds" #44

Closed
watsondeeuh opened this issue Dec 17, 2021 · 1 comment
Closed

"Reproducible builds" #44

watsondeeuh opened this issue Dec 17, 2021 · 1 comment
Assignees
Labels
enhancement New feature or request

Comments

@watsondeeuh
Copy link

Salve, Mercês. Obrigado pelo pacote disponibilizado neste repositório.

Apenas uma sugestão para que fosse possível "Reproducible builds":
Uma vez que temos o seu fonte do instalador, o ideal era que você também disponibilizasse a origem ou pelo menos a hash das ferramentas que você utiliza em cada release do retoolkit para que tivéssemos a plena certeza de que o instalador esteja de acordo com as fontes.

Até pelo aviso que você colocou, eu entendo que não tem como colocar exatamente a origem de certas ferramentas que você inclui. Mas o que estou sugerindo é que nesses casos extremos a hash sirva para quem deseja fazer a verificação (ou o "reproducible build").

Quem me garante que um dia você (conscientemente ou não) resolva colocar um spyware no meio da release? =) Justamente para evitar a confiança cega, sugiro essa mudança. Na minha opinião, você tem uma excelente reputação e eu confio que você não faria algo do tipo. Mas vai que? E se um dia tua conta aqui do Github é invadida e lançam sorrateiramente uma nova release com um malware?

Mais uma vez, eu sei que você avisou que talvez não seja seguro usar essas ferramentas mesmo que numa VM temporária. Mas o que estou sugerindo é uma forma de pegarmos seus fontes + arquivos das ferramentas = instalador "limpo" criado pelo usuário, tirando da equação a confiança em uma pessoa.

Obrigado

@merces
Copy link
Contributor

merces commented Jan 13, 2022

A sugestão é ótima, @watsondeeuh. Certamente farei isso na próxima release. Além dos perigos que você mencionou, tem o caso de alguma dessas ferramentas já ter algum spyware sem que eu saiba, então também preciso me "imunizar" disso. Colocando os hashes tira minha responsa. Muito obrigado pela sugestão!

Um abraço.

@merces merces self-assigned this Jan 13, 2022
@merces merces added the enhancement New feature or request label Feb 4, 2022
@merces merces added this to the 2022.04 milestone Feb 4, 2022
@merces merces removed this from the 2022.04 milestone Apr 30, 2022
@merces merces closed this as completed in d94b5f2 Oct 27, 2022
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
enhancement New feature or request
Projects
None yet
Development

No branches or pull requests

2 participants