Ubuntu offre un moyen pratique de compiler un paquet sur votre propre machine. Cependant, il n'y a aucun moyen de vérifier que l'exécutable dans un paquet binaire que vous avez téléchargé a été obtenu à partir de ce code source. Le processus de signature utilisé par Ubuntu réduit considérablement le risque de falsification des packages par des tiers, mais vous devez toujours vous assurer qu'aucun code nuisible n'a été ajouté avant la compilation qui ne figure pas dans le code source téléchargeable.
La raison en est qu’il est extrêmement difficile d’obtenir exactement les mêmes binaires qu’il ya dans les paquets compilés, car ceux-ci dépendent de la version précise du compilateur, de ses options et il existe probablement des chemins ou des variables d’environnement compilés dans binaire. Vous ne pourrez donc pas obtenir exactement le même fichier binaire lors de la compilation, ce qui "vérifierait" le fichier binaire téléchargé.
Il existe en fait une petite communauté de chercheurs autour de ce problème - comment rendre la compilation reproductible.
Cela dit, une comparaison manuelle d’un fichier binaire téléchargé et d’un fichier auto-compilé peut détecter du code ajouté / modifié, il serait donc risqué pour quelqu'un d’offrir des fichiers binaires et le code source de cacher quelque chose. dans les binaires, car cela peut être détecté.
Mais il y a aussi le problème de faire confiance au compilateur, comme déjà mentionné ...