Я собираюсь загрузить некоторое программное обеспечение OSS, и я хотел бы убедиться (с достаточной степенью уверенности), что оно не было подделано для вставки вредоносного ПО. В частности, это менеджер паролей (KeePassX), который кажется чрезвычайно сочной целью для взлома, поэтому я чувствую себя особенно параноиком.
Я могу придумать два вектора для вставки вредоносного кода:
- Вредоносные программы пробиваются в официальный исходный код.
- Вредоносная вилка или сборка заменяет официальную на сайте.
Страница загрузки предоставляет контрольные суммы; однако, это, кажется, не защитит от вышеупомянутых двух взломов.
У меня нет опыта или времени, чтобы провести аудит исходного кода.
Каковы лучшие практики для проверки программного обеспечения с открытым исходным кодом чувствительного характера на наличие вредоносных программ?