软件信任危机:我们为何不得不信任软件?
2024-12-31
本文探讨了软件信任的难题。作者指出,即使是安全的通讯软件,也依赖于对厂商的信任;开源软件的代码量巨大,审查几乎不可能;代码签名虽然能验证软件完整性,但依赖用户尽责,容易被绕过。文章深入分析了软件供应链中的风险点,包括代码签名、黑名单、自动更新、包管理器等,并介绍了可复现构建和二进制透明性等技术,试图增强软件信任,但最终承认这是一个远未解决的问题,我们仍然不得不信任软件提供商。