"Reproducible builds" #44
Description
Salve, Mercês. Obrigado pelo pacote disponibilizado neste repositório.
Apenas uma sugestão para que fosse possível "Reproducible builds":
Uma vez que temos o seu fonte do instalador, o ideal era que você também disponibilizasse a origem ou pelo menos a hash das ferramentas que você utiliza em cada release do retoolkit para que tivéssemos a plena certeza de que o instalador esteja de acordo com as fontes.
Até pelo aviso que você colocou, eu entendo que não tem como colocar exatamente a origem de certas ferramentas que você inclui. Mas o que estou sugerindo é que nesses casos extremos a hash sirva para quem deseja fazer a verificação (ou o "reproducible build").
Quem me garante que um dia você (conscientemente ou não) resolva colocar um spyware no meio da release? =) Justamente para evitar a confiança cega, sugiro essa mudança. Na minha opinião, você tem uma excelente reputação e eu confio que você não faria algo do tipo. Mas vai que? E se um dia tua conta aqui do Github é invadida e lançam sorrateiramente uma nova release com um malware?
Mais uma vez, eu sei que você avisou que talvez não seja seguro usar essas ferramentas mesmo que numa VM temporária. Mas o que estou sugerindo é uma forma de pegarmos seus fontes + arquivos das ferramentas = instalador "limpo" criado pelo usuário, tirando da equação a confiança em uma pessoa.
Obrigado