但是有源代码的时候如果不放心的话还能自己编译。实际上各个GNU/Linux发行版和Android的F-Droid市场都是有维护者自己下载源码编译打包，然后自己签名担保的。
另外现在Debian等发行版已经在开始搞可重现构建了，可以保证软件仓库里的软件包在用户经过一定的配置之后构建出来的包完全相同。

【 在 waka (waka) 的大作中提到: 】
: 你说的这些软件，大部分我都用过。但是，谁能保证Signal、nextCloud给你看的源代码跟你安装的应用是同一套？ 所以，用开源作为唯一评判标准没有意义。
--
修改:ArchLinux FROM 123.112.66.*
FROM 123.112.66.*