尽管任何人都可以检查自由开源软件中的源代码是否存在恶意漏洞，但大多数情况下都只是获取这些软件的预编译版本，没有办法确认它们和源代码是否一致。

这就刺激了对发布软件的开发者的攻击 —— 不仅是传统的对漏洞的利用，还以政治影响、勒索甚至暴力威胁的形式。

比起开发者本身，攻击构建程序的基础设施更能控制大量的用户设备，而二进制文件变化，对开发者和用户而言是个共同的盲区。

这些攻击可能还导致特定目标，如异见者，新闻工作者和举报人，以及希望进行自由通信的任何人，可能仅仅因为在专制政权下自由通信而遭受处罚。

因此，Reproducible Builds 允许验证在编译过程中没有漏洞或后门被引入。通过相同的源代码生成相同的二进制，让多个第三方就 "正确" 的结果达成共识，突出任何可疑的和值得仔细检查的偏差。

现在，我们在 https://github.com/v2fly/reproducible-builds 提供该工具，你可以快速运行并校验发布文件是否被修改。

GitHubv2fly/reproducible-buildsReproducible builds are a set of software development practices that create an independently-verifiable path from source to binary code. - v2fly/reproducible-builds

Project V Channel(Unofficial)

尽管任何人都可以检查自由开源软件中的源代码是否存在恶意漏洞，但大多数情况下都只是获取这些软件的预编译版本，没有办法确认它们和源代码是否一致。

这就刺激了对发布软件的开发者的攻击 —— 不仅是传统的对漏洞的利用，还以政治影响、勒索甚至暴力威胁的形式。

比起开发者本身，攻击构建程序的基础设施更能控制大量的用户设备，而二进制文件变化，对开发者和用户而言是个共同的盲区。

这些攻击可能还导致特定目标，如异见者，新闻工作者和举报人，以及希望进行自由通信的任何人，可能仅仅因为在专制政权下自由通信而遭受处罚。

因此，Reproducible Builds 允许验证在编译过程中没有漏洞或后门被引入。通过相同的源代码生成相同的二进制，让多个第三方就 "正确" 的结果达成共识，突出任何可疑的和值得仔细检查的偏差。

现在，我们在 https://github.com/v2fly/reproducible-builds 提供该工具，你可以快速运行并校验发布文件是否被修改。

GitHubv2fly/reproducible-buildsReproducible builds are a set of software development practices that create an independently-verifiable path from source to binary code. - v2fly/reproducible-builds

hottg.com/v2ray/85

94.4K viewsOct 31, 2020 at 10:01