EDICIóN GENERAL

Huawei lanza ordenador sin AMD, Intel ni Microsoft

#49 Para eso existe una cosa llamada chequeos de integridad.

itsfoss.com/checksum-tools-guide-linux/

Las distros linux serias no sólo te aportan los fuentes y los compilados, también te aportan los chequeos de integridad, para que puedas comprobar que efectivamente, lo que te descargas es lo que ellos compilan y procede de sus fuentes.
#124 eso es algo más viejo que las compilaciones reproducibles que ya he dicho yo. Un chequeo de integridad sirve para que un tercero no te meta una copia diferente a la que te ha dado un proveedor, pero si ese proveedor es el que te mete la puerta trasera en el binario y te da un código fuente libre de esas puertas traseras el checksum que te da va a coincidir y el binario que te ha provisto seguirá teniendo puerta trasera (sí compilas tú de cero obviamente el binario estará limpio y tendrá checksum diferente)
Con las compilaciones reproducibles puedes auditar el código fuente y además ver que el checksum del binario del proveedor coincide con esa compilación que has hecho tú con el código auditado, así que no hay puerta trasera (suponiendo que has auditado el código correctamente, claro)
#147 Igualmente tienes los fuentes y hay distros donde tú te lo guisas y te lo comes, si desconfías. Por otro lado, el proceso de compilación es automático y también es auditable, se reducen mucho las formas de colar cosas.

Por otro lado, la gran mayoría de las distros grandes dan soporte a empresas, y ahí si que no hay tutía con estas cosas. ¿Sabes qué pasaría si una empresa se da cuenta de que están espiándoles y/o facilitando el espionaje por modificaciones hechas en los paquetes que les sirven? ¿sabes qué pasaría si hay una demanda?. Se te cierra el grifo, te demandan en cascada, tu empresa se va a la mierda. No se pueden arriesgar.

menéame