On Wed, Sep 23, 2015 at 06:58:56PM +0200, gin(e) wrote:
>On 09/23/2015 02:49 PM, torn wrote:
>
>> Io dico che non è vero: per quanto ne possiamo sapere noi il binario
>> distribuito potrebbe non corrispondere ai sorgenti disponibili su
>> github. Non esiste nemmeno un sistema di build riproducibili.
>>
>> Al più possiamo dire che il protocollo è pensato bene e ne esiste una
>> buona implementazione, ma sul binario dobbiamo assumere di non sapere nulla.
>>
>> Mi si può dire che questo è un problema che c'è sempre: per esempio
>> quando installo un pacchetto Debian binario che ne so di quali sono
>> esattamente i suoi sorgenti? Però almeno qui la questione è riconosciuta
>> e ci si sta lavorando:
>>
>> https://wiki.debian.org/ReproducibleBuilds
>
>se ho un builder pubblico e uno no? se devo ad un certo punto cambiare
>il builder? chi builda il buildatore?
>
>comunque riconosco che esplicitare anche questi passaggi contribuisce
>ulteriormente alla sicurezza.
>
>E comunque.. non basta importare il progetto dentro AndroidStudio o
>Eclipse? I buildatori te li regalano loro.. non so.. non ho provato. In
>questo caso specifico.
non ho ben capito che cosa hai detto, però questo argomento mi fa venire
in mente: ma qualcuno si è preso la briga di aprire gli apk del
playstore e compararli con quelli di fdroid, o con una versione
compilata artigianalmente, per vedere se si trovano differenze?
>> Però TextSecure&C sono liberi (GPLv3), non solo open, quindi il problema
>> non è questo.
>
>mi riferivo a:
>- come si decide chi fa parte del core di sviluppo del programma originale?
>- chi effettivamente può prenderne parte e partecipare al processo
>decisionale che permette di prendere alcune strade piuttosto che altre?
>- quanto pubbliche sono queste decisioni?
>- che ausilio dai a chi forka? come ti comporti con questi?
>- software che usa solo il tuo server? lo metti a disposizione?
>- quanto incidono le aziende che finanziano nel processo decisionale?
>- se ci sono sviluppatori pagati dall'azienda e altri non pagati.. i
>pagati produrranno di più e quindi si ripropone la situazioni descritte
>sopra.
>
>c'è un approccio business (open) e un approccio free (libero e liberato)
yeah. dopodichè ci affidiamo ad un sacco di software che da questo punto
di vista è open ma non free, quindi cerchiamo di conviverci bene :)
--
boyska