Una de las supuestas ventajas del software de código abierto es que, al ser así, permite múltiples ojos en el código y permite una resolución más rápida de errores. Creo que, también implícito, hay una garantía de que no hay ningún agujero de seguridad intencional en él.
Ahora, ¿es eso necesariamente cierto? Si observo esto en el contexto de GNU / Linux, recibe binarios firmados de su disto favorito (incluso si es fuente, obviamente no tiene tiempo suficiente para revisar todo antes de instalar). ¿No es esto defectuoso en términos de 'autenticidad' del software?
¿Existe alguna forma de implementar una estructura de seguridad donde el código permanezca en una plataforma de acceso abierto desde donde pueda calcular las sumas de comprobación para compararlas con lo que obtuvo? ¿Se puede automatizar este procedimiento? ¿No se requiere tal procedimiento?