Distribuer des fichiers binaires, c'est extrêmement désobligeant non ?

Dans un monde normal, tous les builds seraient reproductibles et Microsoft intégrerait une solution simple permettant aux PNJ de compiler en quelques secondes n'importe quel projet téléchargé
On est d'accord ?

C'est comme acheter un produit en magasin en devant faire confiance à l'image sur la boîte

BON vous allez me répondre ?

Dans ton monde tu dépenses des millions en recherche et developpement et tu donnes le fruit de ton travail gratuitement ?

Le 02 janvier 2022 à 10:35:07 :
Dans ton monde tu dépenses des millions en recherche et developpement et tu donnes le fruit de ton travail gratuitement ?

Et d'un autre côté tu dois faire confiance à des fichiers binaires ?

Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Les non binaires ne sont pas assez représentés dans le monde informatique, il faut que ça change je suis bien d'accord.

J'ai rien pigé à ton histoire AntoineForom

Si un "PNJ" télécharge un fichier binaire (c'est à dire un fichier compilé), pourquoi chercherait t'il à le recompiler

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Ceci

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Car tu vérifies le hash du build, s'il est reproductible alors normalement d'autres gens ont déjà analysé le code source, et si le hash a changé, c'est soit qu'il y a eu un problème au niveau de la compilation, soit qu'il y a un problème avec le projet

Bah utilise des programmes open source...

Faut pas oublier que certains programmes peuvent mettre des heures à compiler sur un bon pc, alors sur le PC Carrefour à 300€ de Mme Michou laisse tomber.

Le 02 janvier 2022 à 10:40:12 :

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Car tu vérifies le hash du build, s'il est reproductible alors normalement d'autres gens ont déjà analysé le code source, et si le hash a changé, c'est soit qu'il y a eu un problème au niveau de la compilation, soit qu'il y a un problème avec le projet

Tu peux vérifier le hash du binaire que tu as téléchargé.

Le 02 janvier 2022 à 10:41:16 :
Bah utilise des programmes open source...

Faut pas oublier que certains programmes peuvent mettre des heures à compiler sur un bon pc, alors sur le PC Carrefour à 300€ de Mme Michou laisse tomber.

D'où l'intérêt des builds reproductibles du coup, dans ce cas tu vérifies juste le hash et s'il correspond à ceux publiés par d'autres utilisateurs de confiance et la source officielle, alors c'est bon (ou bien comparer avec ta propre compilation mais dans ce cas t'auras ton propre build inutile de le télécharger)

Quand les gens téléchargent des programmes open source, 99% du temps ils ne téléchargent que l'exécutable et ne savent même pas ce qu'est un build reproductible

Le 02 janvier 2022 à 10:42:10 :

Le 02 janvier 2022 à 10:40:12 :

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Car tu vérifies le hash du build, s'il est reproductible alors normalement d'autres gens ont déjà analysé le code source, et si le hash a changé, c'est soit qu'il y a eu un problème au niveau de la compilation, soit qu'il y a un problème avec le projet

Tu peux vérifier le hash du binaire que tu as téléchargé.

Pour ça il faut que le build soit reproductible, ce qui n'est pas le cas de tous les programmes open source, même si de plus en plus (utiliser un compilateur reproductible), pourtant c'est assez simple à mettre en œuvre

Le 02 janvier 2022 à 10:40:12 :

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Car tu vérifies le hash du build, s'il est reproductible alors normalement d'autres gens ont déjà analysé le code source, et si le hash a changé, c'est soit qu'il y a un problème a eu un problème niveau de la compilation, soit qu'il y a un problème avec le projet

Attends il faut savoir. Tu distribues quoi au juste ? Le build ou les sources avec le compilateur ?
Parce que le build c'est justement les sources une fois compilée, donc aucun intérêt de fournir un compilateur avec.

Le 02 janvier 2022 à 10:45:07 :

Le 02 janvier 2022 à 10:40:12 :

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Car tu vérifies le hash du build, s'il est reproductible alors normalement d'autres gens ont déjà analysé le code source, et si le hash a changé, c'est soit qu'il y a un problème a eu un problème niveau de la compilation, soit qu'il y a un problème avec le projet

Attends il faut savoir. Tu distribues quoi au juste ? Le build ou les sources avec le compilateur ?
Parce que le build c'est justement les sources une fois compilée, donc aucun intérêt de fournir un compilateur avec.

Les deux, mais tout le monde ne télécharge et compile pas forcément la source
Donc si on a le binaire et le hash, que l'on sait que ce hash correspond bien au projet open source qui a été vérifié et revérifié par d'autres utilisateurs, dans ce cas c'est bon

Le 02 janvier 2022 à 10:46:12 :

Le 02 janvier 2022 à 10:45:07 :

Le 02 janvier 2022 à 10:40:12 :

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Car tu vérifies le hash du build, s'il est reproductible alors normalement d'autres gens ont déjà analysé le code source, et si le hash a changé, c'est soit qu'il y a un problème a eu un problème niveau de la compilation, soit qu'il y a un problème avec le projet

Attends il faut savoir. Tu distribues quoi au juste ? Le build ou les sources avec le compilateur ?
Parce que le build c'est justement les sources une fois compilée, donc aucun intérêt de fournir un compilateur avec.

Les deux, mais tout le monde ne télécharge et compile pas forcément la source
Donc si on a le binaire et le hash, que l'on sait que ce hash correspond bien au projet open source qui a été vérifié et revérifié par d'autres utilisateurs, dans ce cas c'est bon

Quel intérêt de télécharger deux fois le même logiciel plus un compilateur ? Tu voudrais qu'on télécharger le build, les sources et un compilateur. Puis qu'on compile les sources avec le compilateur pour obtenir le fameux build reproductible et que l'on compare les deux builds pour voir si le hash est le même. C'est stupide.
En plus de faire confiance au compilateur, ce qui remet toute la chaine de confiance en question.

Le 02 janvier 2022 à 10:50:14 :

Le 02 janvier 2022 à 10:46:12 :

Le 02 janvier 2022 à 10:45:07 :

Le 02 janvier 2022 à 10:40:12 :

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Car tu vérifies le hash du build, s'il est reproductible alors normalement d'autres gens ont déjà analysé le code source, et si le hash a changé, c'est soit qu'il y a un problème a eu un problème niveau de la compilation, soit qu'il y a un problème avec le projet

Attends il faut savoir. Tu distribues quoi au juste ? Le build ou les sources avec le compilateur ?
Parce que le build c'est justement les sources une fois compilée, donc aucun intérêt de fournir un compilateur avec.

Les deux, mais tout le monde ne télécharge et compile pas forcément la source
Donc si on a le binaire et le hash, que l'on sait que ce hash correspond bien au projet open source qui a été vérifié et revérifié par d'autres utilisateurs, dans ce cas c'est bon

Quel intérêt de télécharger deux fois le même logiciel plus un compilateur ? Tu voudrais qu'on télécharger le build, les sources et un compilateur. Puis qu'on compile les sources avec le compilateur pour obtenir le fameux build reproductible et que l'on compare les deux builds pour voir si le hash est le même. C'est stupide.
En plus de faire confiance au compilateur, ce qui remet toute la chaine de confiance en question.

NON !
Pas besoin de télécharger deux fois le binaire, une seule fois suffit, et on compare son hash au hash du build reproductible compilé par d'autres utilisateurs, s'il correspond alors le projet est authentique

Le 02 janvier 2022 à 10:52:02 :

Le 02 janvier 2022 à 10:50:14 :

Le 02 janvier 2022 à 10:46:12 :

Le 02 janvier 2022 à 10:45:07 :

Le 02 janvier 2022 à 10:40:12 :

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Car tu vérifies le hash du build, s'il est reproductible alors normalement d'autres gens ont déjà analysé le code source, et si le hash a changé, c'est soit qu'il y a un problème a eu un problème niveau de la compilation, soit qu'il y a un problème avec le projet

Attends il faut savoir. Tu distribues quoi au juste ? Le build ou les sources avec le compilateur ?
Parce que le build c'est justement les sources une fois compilée, donc aucun intérêt de fournir un compilateur avec.

Les deux, mais tout le monde ne télécharge et compile pas forcément la source
Donc si on a le binaire et le hash, que l'on sait que ce hash correspond bien au projet open source qui a été vérifié et revérifié par d'autres utilisateurs, dans ce cas c'est bon

Quel intérêt de télécharger deux fois le même logiciel plus un compilateur ? Tu voudrais qu'on télécharger le build, les sources et un compilateur. Puis qu'on compile les sources avec le compilateur pour obtenir le fameux build reproductible et que l'on compare les deux builds pour voir si le hash est le même. C'est stupide.
En plus de faire confiance au compilateur, ce qui remet toute la chaine de confiance en question.

NON !
Pas besoin de télécharger deux fois le binaire

Non je disais deux fois car:
- une fois le build
- une fois les sources et le compilateur pour générer un build
Donc ça fait deux builds à la fin.

, une seule fois suffit, et on compare son hash au hash du build reproductible compilé par d'autres utilisateurs, s'il correspond alors le projet est authentique

Oui donc inutile

Le 02 janvier 2022 à 10:53:46 :

Le 02 janvier 2022 à 10:52:02 :

Le 02 janvier 2022 à 10:50:14 :

Le 02 janvier 2022 à 10:46:12 :

Le 02 janvier 2022 à 10:45:07 :

Le 02 janvier 2022 à 10:40:12 :

Le 02 janvier 2022 à 10:36:51 :
Quel intérêt de distribuer les builds si c'est pour fournir une solution propriétaire qui permettent de les compiler ? Du coup c'est le compilateur dont tu ne connaîtra pas les sources et dont tu n'auras pas de build.
Il faudrait plutôt que tu puisses utiliser le compilateur de ton choix.
Bref encore un sujet que tu ne maîtrise pas.

Car tu vérifies le hash du build, s'il est reproductible alors normalement d'autres gens ont déjà analysé le code source, et si le hash a changé, c'est soit qu'il y a un problème a eu un problème niveau de la compilation, soit qu'il y a un problème avec le projet

Attends il faut savoir. Tu distribues quoi au juste ? Le build ou les sources avec le compilateur ?
Parce que le build c'est justement les sources une fois compilée, donc aucun intérêt de fournir un compilateur avec.

Les deux, mais tout le monde ne télécharge et compile pas forcément la source
Donc si on a le binaire et le hash, que l'on sait que ce hash correspond bien au projet open source qui a été vérifié et revérifié par d'autres utilisateurs, dans ce cas c'est bon

Quel intérêt de télécharger deux fois le même logiciel plus un compilateur ? Tu voudrais qu'on télécharger le build, les sources et un compilateur. Puis qu'on compile les sources avec le compilateur pour obtenir le fameux build reproductible et que l'on compare les deux builds pour voir si le hash est le même. C'est stupide.
En plus de faire confiance au compilateur, ce qui remet toute la chaine de confiance en question.

NON !
Pas besoin de télécharger deux fois le binaire

Non je disais deux fois car:
- une fois le build
- une fois les sources et le compilateur pour générer un build
Donc ça fait deux builds à la fin.

, une seule fois suffit, et on compare son hash au hash du build reproductible compilé par d'autres utilisateurs, s'il correspond alors le projet est authentique

Oui donc inutile

Oui mais dans ce cas pas besoin de le compiler du coup si d'autres utilisateurs ont publiés le hash, c'est une alternative au fait de le compiler soi-même, et donc c'est très utile
Mais pour ça il faudrait déjà avoir la source, avec les logiciels propriétaires ce n'est pas le cas et on est à la merci d'une boîte noire