许多Android应用都是开源的,但我们怎样才能确保最终上传到Google Market的人在上传之前不会包含某些间谍软件?
背景:移动应用安全性似乎是a growing concern,我想向我的开源Android应用安装用户放心。需要修改部署过程或应用程序内容的解决方案也是可以接受的。
2012更新:这是正确的方向:http://f-droid.org/他们检查应用并将其编译为他们分发的APK。话虽如此,我会更信任他们 如果他们是Mozilla或Apache ......
答案 0 :(得分:1)
你当然可以自己创建源代码并自己编译/编译它,然后将得到的二进制文件与上传的二进制文件进行比较,但这无论如何都会破坏二进制分发的目的。在源代码确实包含恶意代码的情况下,它仍然无济于事。或者可能构建一个安全的,即可信赖的参考二进制文件,然后发布校验和以进行比较?
除此之外,这个问题并非特定于开源软件。最后,这一切归结为信任。