但是有源代码的时候如果不放心的话还能自己编译。实际上各个GNU/Linux发行版和Android的F-Droid市场都是有维护者自己下载源码编译打包，然后自己签名担保的。
另外现在Debian等发行版已经在开始搞可重现构建了，可以保证软件仓库里的软件包在用户经过一定的配置之后构建出来的包完全相同。

【 在 waka (waka) 的大作中提到: 】
: 你说的这些软件，大部分我都用过。但是，谁能保证Signal、nextCloud给你看的源代码跟你安装的应用是同一套？ 所以，用开源作为唯一评判标准没有意义。
--
修改:ArchLinux FROM 123.112.66.*
FROM 123.112.66.*

维护者签了名就意味着软件包出了问题维护者需要负责，另一个功能是防止在分发的时候被篡改。
可重现构建技术[1]就是让用户验证源码和二进制产物对应的技术，理论上可以做到相同源码产生每一比特都相同的二进制数据。现在Debian官方的数据是已经有20000以上的软件包都是可重现的。[2] 现在最新的是要让每个人从尽量少的二进制数据开始逐步构建一个现代的GNU/Linux操作系统。[3][4] Arch也正在做可重现构建。[5]
如果完全不信任所以的二进制包，还可以使用Gentoo这类完全从源码构建的发行版，只要构建脚本（这个是公开review的）没问题，就可以构建一个可信的操作系统。

[1] https://reproducible-builds.org/
[2] https://wiki.debian.org/ReproducibleBuilds
[3] https://www.gnu.org/software/mes/
[4] https://github.com/oriansj/stage0
[5] https://wiki.archlinux.org/index.php/Reproducible_Builds

【 在 waka (waka) 的大作中提到: 】
: 首先，维护者自己签名担保有多大可信度。
: 又是什么可以保证发行版（appstore,各个安卓应用市场，其他渠道），公开的源码，以及你说的用户经过配置构建出来的包，完全是一个东西。
--
FROM 123.112.66.*

你这样说没有意义啊，商用软件不可能开放源代码的。那难道你所有的软件都自己写吗？
【 在 ArchLinux 的大作中提到: 】
: 我这里说的私有软件是相对于自由软件的概念[1]，简单地说就是用户看不到源代码的软件。这样的软件本身就及其不可信任，不管是在什么地方部署。
: 我并没有说技术不重要，但是如果用了私有软件，用户很难保证里面使用了软件声称具有的技术，更不要说里面可能有一些恶意代码。所以保护隐私的第一个条件绝对是软件自由。一个自由软件缺少安全上的功能，用户还能通过修改代码，或者再配合其他软件实现需要的功能。
: 做一个简单的对比，WhatsApp,iMessage这些通信软件都宣称有端到端加密，但是用户看不到它们的源码，没法相信这些软件是不是真的做了加密，并且没有偷偷上传用户的数据。而自由软件IRC客户端Pidgin虽然没有实现端到端加密功能，但是用户可以自己在上面实现插件实现OpenPGP,OTR等加密方案。
: ...................
--
FROM 222.128.170.*