Al descargar archivos binarios compilados para programas, es muy importante verificar las firmas de GPG, Authenticode, hashes, etc.
Sin embargo, a menudo veo personas que dicen que compilar el código desde la fuente es la forma más segura.
Si han leído y comprendido cada línea de código, entonces puedo ver cómo sería este el caso.
Sin embargo, para proyectos como Chromium o Linux Kernel, dudo mucho que alguien en el mundo haya leído todas las líneas. Incluso si leyeran cada línea, una puerta trasera puede ser tan pequeña como un solo personaje, por lo que es mejor que la hayan leído con mucha precisión.
¿La compilación desde la fuente realmente es más segura que descargar los binarios no verificados?