Administrace komentářů

Máš pravdu. Právě proto jsem v prvním komentáři rozporoval tvé tvrzení, že "každý má stále možnost se před tím, než ten balíček updatuje podívat, co v něm je, protože process jeho vzniku je plně transparentní." Já tvrdím, že běžný uživatel zdrojáky nekontroluje a proces buildování u většiny dister není transparentní.

To jsou ale dvě zcela odlišné věci, jestli ten proces je transparentní a jestli ho někdo kontroluje. Build GPXSee je obecně reprodukovatelný, takže u distribucích, které se o reprodukovatelné buildy snaží to můžeš do jisté míry zkontrolovat, že v binárce je to co bys tam podle zdrojáků očekával. Jasně, není to 100%, protože k tomu by si musel mít zkontrolovaný celý ten řetězec, což asi v žádném distru dneska nemáš, ale když věříš zbytku toho distra, není důvod nevěřit zrovna buildu jednoho konkrétního balíčku...

Jestli to někdo skutečně dělá už je zcela jiný příběh. Ale statistiky ukazují to, že pokud tady ta možnost je (a pod tím procesem jsou podepsaní konkrétní lidé - v anonymních prostředích to tak úplně nefunguje), tak je šance, že tam nějaký "nekalý úmysl" bude minimální.

odmítáš firewall

Odmítám ho jako řešení nedůvěry k nějaké části systému, který je tvořen stejným procesem a stejnými lidmi jako ta "nedůvěryhodná" část. Tvářit se, že sis nějak pomohl tím, že si jednu náhodnou část v tom systému více izoloval, je dle mě jenom falešný pocit bezpečí. Navíc všechny tyhle mechanismy mají nějaké "vedlejší účinky" na které časem s největší pravděpodobností narazíš. No a v neposlední řadě je tu ten "psychologický efekt", kdy je tahle otevřená nedůvěra vyloženě urážkou těch lidí, co pro tu komunitu ty komponenty, kterým ty nedůvěřuješ (většinou zadarmo) tvoří. Až se budeš ptát, proč v OSS světě nemáme to či ono, tak si vzpomeň, že jedním z důvodům jsou i tyhle snahy, které autorům otevřeně ukazují prostředníček...