【发布时间】:2023-01-31 05:23:15
【问题描述】:
如何下载特定 LineageOS Android 版本的确切源代码?
比如这个:
https://download.lineageos.org/FP3
sha256 039a65b5365acd4d570fab1c034f450f32f04ca6f5371602adc6a9736bffe015
lineage-19.1-20221031-nightly-FP3-signed.zip
目标:能够手动检查(开源)源代码并验证在此特定构建中没有操纵任意代码。
前言
当我下载Termux from F-Droid这样的应用程序时,我可以:
- 验证PGP签名(验证包授权和完整性)
- 检查构建日志(检查异常库中有争议的段落)
- 下载原始源压缩包并检查源代码 (对我来说最重要)
如何在特定的 LineageOS 构建上执行最后的验证步骤?
笔记
- https://security.stackexchange.com/q/266348/ - 这个问题是从信息安全网迁移过来的
- https://wiki.lineageos.org/verifying-builds - 描述如何验证数字签名的页面(不是如何下载特定版本的源代码)
- https://download.lineageos.org/FP3 - Fairphone 3 的下载,既不可能下载确切的源代码,也看不到确切的提交哈希)
- https://wiki.lineageos.org/devices/FP3/build - 如何构建你自己的版本(现在关于如何检查一个确切的已经存在的构建的源代码)
- https://wiki.lineageos.org/signing_builds - 如何签署我的构建(与上述相同的问题)
- https://mirrorbits.lineageos.org/full/FP3/20221114/lineage-19.1-20221114-nightly-FP3-signed.zip 这是一个特定版本的 URL,但是它的父目录无法访问 https://mirrorbits.lineageos.org/full/FP3/20221114/ 所以我不知道是否有任何其他文件(比如那个确切版本的源代码 tarball)
- https://github.com/LineageOS/android_device_fairphone_FP3 AFAIK 这是 Fairphone 3 的存储库(但我没有看到下载页面中的特定图像与其特定的 git 标签或 git hash 等之间的引用)
目前在我看来,我必须从下载页面(例如
20221114)中获取日期,然后从官方存储库中手动猜测确切的提交哈希值。在我看来,这似乎是一种不科学的方法。感谢您澄清如何下载任何特定官方 LineageOS 版本的确切源代码。
【问题讨论】:
标签: open-source lineageos