Build riproducibili
Questa pagina spiega come Toqen.app garantisce che le build dell’applicazione possano essere verificate in modo indipendente e corrispondere al codice sorgente pubblicato.
TL;DR
- Ogni build è collegata a uno specifico commit.
- I metadati della build sono visibili nell’applicazione.
- Lo stesso codice sorgente produce lo stesso risultato di build.
- Chiunque può verificare che l’app corrisponda al codice pubblicato.
- La trasparenza supporta una revisione di sicurezza indipendente.
Come verificare una build
Ogni build dell’applicazione include metadati che identificano il commit esatto del codice sorgente utilizzato durante il processo di build.
- Apri l’applicazione e vai nelle impostazioni o nelle informazioni sulla build.
- Individua l’hash del commit o l’identificatore della build.
- Confronta l’hash del commit con il repository pubblico.
- Verifica che il codice corrisponda alla versione rilasciata.
Mappatura tra commit e build
Ogni build pubblicata è direttamente associata a uno specifico commit nel repository del codice sorgente.
- Le pipeline di build utilizzano lo stato esatto del commit senza modifiche.
- Gli identificatori di versione includono riferimenti al commit quando possibile.
- Gli artefatti di build possono essere ricondotti a una singola revisione del codice.
- Non vengono introdotte modifiche nascoste durante il processo di build.
Garantire la corrispondenza tra codice e applicazione
Le build riproducibili garantiscono che l’applicazione distribuita agli utenti corrisponda al codice sorgente disponibile pubblicamente.
- Lo stesso codice sorgente produce lo stesso risultato di build in condizioni controllate.
- I passaggi di build sono deterministici e documentati.
- Dipendenze e ambienti sono definiti per evitare variazioni.
- Soggetti indipendenti possono riprodurre la build e confrontare i risultati.