我们从一些长期维护源代码的供应商处接收源代码(无论好坏)。我们需要验证的一件事是,他们交给我们的源代码版本是否真正与当前编译和部署到生产中的版本相匹配。问题是,如何以非侵入性方式执行此操作(即,我不想编译并将其投入生产以查看是否存在问题)。
我知道不可能在不同的时间段内将相同的源代码编译成相同的JAR和DLL,因为将有不同的元数据打包到JAR和DLL中,这将使得简单的校验和匹配变得不可能。但是,还有另一种方法可以验证源代码确实编译成生产中的内容吗?对于例如在Java中,我们可以解压缩JAR文件并比较* .class文件,并从那里确定准确性吗?
谢谢! 黄