开源软件：我怎么知道它是否使用实际代码？

Posted 2023-02-04

由于当前有关新Corona应用程序有关跟踪和隐私的争论，我想大体上知道，如果某个应用程序或软件确实仅使用声称是开放源代码的代码，那么该应用程序或软件是否仅真正使用了它所声称的代码。那么，如何确定从应用存储库（例如Googles Play商店）下载的应用确实使用了此代码？有可能吗？

我知道可能还会存在其他漏洞（例如，该应用程序也使用我必须信任的系统库）。但是让我们仅考虑应用程序/软件本身，以免使其变得复杂。

我给人的印象是这是不可能的。或仅通过普通用户无法执行的大量努力。可以只有信任和希望吗？或如何轻松验证应用程序的身份？

开源很好（实际上是有史以来最伟大的事情之一！），但是如果我不知道我是否应该得到我应该得到的东西，那真的很糟糕。

答案

好，让我们举一个Google Play商店应用为例。您可以从Google PlayStore下载.APK（有一个额外的网站可以为您提供此功能）。

下载.APK文件后，您可以使用md5对其进行哈希处理。此外，您还应该从开源.APK文件中获取哈希值，您必须自行构建。现在，您必须比较这两个哈希，如果它们匹配，那就是相同的代码。