Legal — Toqen

Builds reprodutíveis

Esta página explica como o Toqen.app garante que as builds da aplicação podem ser verificadas de forma independente e correspondem ao código-fonte publicado.

TL;DR

  • Cada build está associada a um commit específico.
  • Os metadados da build são apresentados na aplicação.
  • O mesmo código-fonte produz o mesmo resultado de build.
  • Qualquer pessoa pode verificar que a aplicação corresponde ao código publicado.
  • A transparência suporta a revisão de segurança independente.

Como verificar uma build

Cada build da aplicação inclui metadados que identificam o commit exato do código-fonte utilizado durante o processo de build.

  • Abra a aplicação e navegue até às definições ou informações da build.
  • Localize o hash do commit ou o identificador da build.
  • Compare o hash do commit com o repositório público.
  • Verifique que o código corresponde à versão publicada.

Mapeamento entre commit e build

Cada build publicada está diretamente associada a um commit específico no repositório de código-fonte.

  • As pipelines de build utilizam o estado exato do commit sem modificações.
  • Os identificadores de versão incluem referências ao commit sempre que aplicável.
  • Os artefactos de build podem ser rastreados até a uma única revisão do código.
  • Não são introduzidas alterações ocultas durante o processo de build.

Garantir que o código corresponde à aplicação

As builds reprodutíveis garantem que a aplicação distribuída aos utilizadores corresponde ao código-fonte disponível publicamente.

  • O mesmo código-fonte produz o mesmo resultado de build em condições controladas.
  • Os passos de build são determinísticos e documentados.
  • As dependências e os ambientes são definidos para evitar variações.
  • Entidades independentes podem reproduzir a build e comparar os resultados.