Reproduzierbare Builds
Diese Seite erklärt, wie Toqen.app sicherstellt, dass Anwendungs-Builds unabhängig überprüft und dem veröffentlichten Quellcode zugeordnet werden können.
TL;DR
- Jeder Build ist mit einem bestimmten Commit verknüpft.
- Build-Metadaten werden in der Anwendung angezeigt.
- Der gleiche Quellcode erzeugt den gleichen Build.
- Jede Person kann überprüfen, ob die App dem veröffentlichten Code entspricht.
- Transparenz unterstützt unabhängige Sicherheitsprüfungen.
So überprüfen Sie einen Build
Jeder Anwendungs-Build enthält Metadaten, die den exakt verwendeten Quellcode-Commit während des Build-Prozesses identifizieren.
- Öffnen Sie die Anwendung und wechseln Sie zu den Einstellungen oder Build-Informationen.
- Suchen Sie den Commit-Hash oder die Build-Kennung.
- Vergleichen Sie den Commit-Hash mit dem öffentlichen Repository.
- Überprüfen Sie, ob der Code der veröffentlichten Version entspricht.
Zuordnung von Commit zu Build
Jeder veröffentlichte Build ist direkt einem bestimmten Commit im Quellcode-Repository zugeordnet.
- Build-Pipelines verwenden den exakten Commit-Zustand ohne Änderungen.
- Versionskennungen enthalten, sofern möglich, Commit-Referenzen.
- Build-Artefakte lassen sich auf eine einzelne Quellcode-Version zurückführen.
- Es werden keine versteckten Änderungen während des Build-Prozesses eingeführt.
Sicherstellen, dass Code und Anwendung übereinstimmen
Reproduzierbare Builds stellen sicher, dass die an Nutzer verteilte Anwendung mit dem öffentlich verfügbaren Quellcode übereinstimmt.
- Der gleiche Quellcode erzeugt unter kontrollierten Bedingungen den gleichen Build.
- Build-Schritte sind deterministisch und dokumentiert.
- Abhängigkeiten und Umgebungen sind definiert, um Abweichungen zu vermeiden.
- Unabhängige Parteien können den Build reproduzieren und die Ergebnisse vergleichen.