Mentions légales — Toqen

Builds reproductibles

Cette page explique comment Toqen.app garantit que les builds de l’application peuvent être vérifiés indépendamment et correspondre au code source publié.

TL;DR

  • Chaque build est lié à un commit spécifique.
  • Les métadonnées de build sont affichées dans l’application.
  • Le même code source produit le même résultat de build.
  • Toute personne peut vérifier que l’application correspond au code publié.
  • La transparence permet une revue de sécurité indépendante.

Comment vérifier un build

Chaque build de l’application inclut des métadonnées qui identifient le commit exact du code source utilisé lors du processus de build.

  • Ouvrez l’application et accédez aux paramètres ou aux informations de build.
  • Localisez le hash du commit ou l’identifiant du build.
  • Faites correspondre le hash du commit avec le dépôt public.
  • Vérifiez que le code correspond à la version publiée.

Correspondance commit-build

Chaque build publié est directement associé à un commit spécifique dans le dépôt de code source.

  • Les pipelines de build utilisent l’état exact du commit sans modification.
  • Les identifiants de version incluent des références au commit lorsque c’est possible.
  • Les artefacts de build peuvent être retracés jusqu’à une seule révision du code.
  • Aucune modification cachée n’est introduite pendant le processus de build.

Garantir la correspondance entre le code et l’application

Les builds reproductibles garantissent que l’application distribuée aux utilisateurs correspond au code source disponible publiquement.

  • Le même code source produit le même résultat de build dans des conditions contrôlées.
  • Les étapes de build sont déterministes et documentées.
  • Les dépendances et les environnements sont définis pour éviter toute variation.
  • Des tiers indépendants peuvent reproduire le build et comparer les résultats.