Un programma interpretato in esecuzione, ad esempio in linguaggi come python, javascript, ruby, java o php, dimostra crittograficamente che è lo stesso di una versione di codice sorgente pubblicata in un modo che non può essere alterato?
Detto in un altro modo, c'è un modo per garantire che i comandi / codice eseguiti da tale programma siano tutti e solo i comandi e il codice specificato in un repository divulgato pubblicamente?
La motivazione di questa domanda è la seguente: in un'epoca di hacker altamente sofisticati così come le pressioni delle agenzie governative per "backdoor" che consentono loro di curiosare su transazioni e scambi privati, possiamo garantire che una domanda non sia stata né stato violato o non è stata aggiunta una backdoor?
Ad esempio, considera un server che esegue un codice Python come PyBitMessage (Bitmessage / PyBitmessage su github) per la messaggistica sicura.
Oppure considera un'applicazione nodejs basata su open source come lesspass (lesspass / lesspass su github) che viene utilizzato per gestire le password e disponibile per l'uso qui ( link ).
O un programma alternativo per una crittografia di scopo simile (SpiderOak / Encryptr su github) con la sua versione scaricabile ( link ).
Esiste un modo per garantire che le versioni disponibili sui loro siti da scaricare / utilizzare / installare stiano eseguendo esattamente lo stesso codice presentato nel codice open source?
Anche se abbiamo fiducia al 100% nell'integrità delle squadre dietro applicazioni come queste, come possiamo essere certi che non sono state costrette da nessuno a modificare la versione in esecuzione / scaricabile del loro programma per creare una backdoor ad esempio ?
Grazie per il tuo aiuto in merito a questo importante problema.
Nota: poiché questa domanda riguarda programmi interpretati, la conversazione su build deterministiche o riproducibili non sembra essere applicata e sembra valsa una nuova domanda.