Mi domando sul controllo del codice sorgente e quanto sarebbe difficile falsificare una build da sottoporre a verifica? Lasciami spiegare.
Dire che sarei un programmatore disonesto che vorrebbe inserire qualche backdoor nel sistema che venderei o che cosa hai. Ho bisogno di ottenere alcune certificazioni per farmi sembrare più legittimo, quindi decido di sottopormi ad audit del codice sorgente. Tuttavia, sapendo bene che la mia frode sarebbe stata rilevata, creo una versione senza macchia del codice che non ha la backdoor che vorrei sottoporre alla revisione. Passando a ciò con i colori volanti, tutto quello che devo fare ora è scartare la build finta e sostituirla con la mia versione malevola che avrei proceduto a distribuire. Se qualcuno lo prendesse in prestito, come farebbero a sapere che il codice è stato manomesso?
In che modo gli audit del codice sorgente aiutano a rilevare una situazione come questa? Quanto sarebbe facile da rilevare?