Compilaciones reproducibles
Esta página explica cómo Toqen.app garantiza que las compilaciones de la aplicación pueden verificarse de forma independiente y coincidir con el código fuente publicado.
TL;DR
- Cada compilación está vinculada a un commit específico.
- Los metadatos de la compilación se muestran en la aplicación.
- El mismo código fuente produce el mismo resultado de compilación.
- Cualquier persona puede verificar que la aplicación coincide con el código publicado.
- La transparencia respalda la revisión de seguridad independiente.
Cómo verificar una compilación
Cada compilación de la aplicación incluye metadatos que identifican el commit exacto del código fuente utilizado durante el proceso de compilación.
- Abra la aplicación y vaya a ajustes o a la información de compilación.
- Localice el hash del commit o el identificador de la compilación.
- Compare el hash del commit con el repositorio público.
- Verifique que el código corresponde a la versión publicada.
Relación entre commit y compilación
Cada compilación publicada está asociada directamente a un commit específico en el repositorio de código fuente.
- Las canalizaciones de compilación utilizan el estado exacto del commit sin modificaciones.
- Los identificadores de versión incluyen referencias al commit cuando es posible.
- Los artefactos de compilación pueden rastrearse hasta una única revisión del código.
- No se introducen cambios ocultos durante el proceso de compilación.
Garantizar que el código coincide con la aplicación
Las compilaciones reproducibles garantizan que la aplicación distribuida a los usuarios coincide con el código fuente disponible públicamente.
- El mismo código fuente produce el mismo resultado de compilación en condiciones controladas.
- Los pasos de compilación son deterministas y están documentados.
- Las dependencias y los entornos están definidos para evitar variaciones.
- Partes independientes pueden reproducir la compilación y comparar los resultados.