Reproduceerbare builds
Deze pagina legt uit hoe Toqen.app ervoor zorgt dat applicatiebuilds onafhankelijk kunnen worden geverifieerd en overeenkomen met de gepubliceerde broncode.
TL;DR
- Elke build is gekoppeld aan een specifieke commit.
- Buildmetadata wordt weergegeven in de applicatie.
- Dezelfde broncode produceert hetzelfde buildresultaat.
- Iedereen kan verifiëren dat de app overeenkomt met de gepubliceerde code.
- Transparantie ondersteunt onafhankelijke beveiligingsbeoordeling.
Hoe een build te verifiëren
Elke applicatiebuild bevat metadata die de exacte broncode-commit identificeert die tijdens het buildproces is gebruikt.
- Open de applicatie en ga naar instellingen of buildinformatie.
- Zoek de commit-hash of buildidentifier.
- Vergelijk de commit-hash met de publieke repository.
- Verifieer dat de code overeenkomt met de gepubliceerde versie.
Koppeling tussen commit en build
Elke gepubliceerde build is direct gekoppeld aan een specifieke commit in de broncode-repository.
- Build-pipelines gebruiken de exacte commitstatus zonder wijzigingen.
- Versie-identifiers bevatten waar mogelijk commitverwijzingen.
- Buildartefacten kunnen worden herleid tot één broncoderevisie.
- Er worden geen verborgen wijzigingen geïntroduceerd tijdens het buildproces.
Zorgen dat code en applicatie overeenkomen
Reproduceerbare builds zorgen ervoor dat de applicatie die aan gebruikers wordt geleverd overeenkomt met de publiek beschikbare broncode.
- Dezelfde broncode produceert hetzelfde buildresultaat onder gecontroleerde omstandigheden.
- Buildstappen zijn deterministisch en gedocumenteerd.
- Afhankelijkheden en omgevingen zijn gedefinieerd om variatie te voorkomen.
- Onafhankelijke partijen kunnen de build reproduceren en resultaten vergelijken.