首先，维护者自己签名担保有多大可信度。
又是什么可以保证发行版（appstore,各个安卓应用市场，其他渠道），公开的源码，以及你说的用户经过配置构建出来的包，完全是一个东西。

【 在 ArchLinux 的大作中提到: 】
: 但是有源代码的时候如果不放心的话还能自己编译。实际上各个GNU/Linux发行版和Android的F-Droid市场都是有维护者自己下载源码编译打包，然后自己签名担保的。
: 另外现在Debian等发行版已经在开始搞可重现构建了，可以保证软件仓库里的软件包在用户经过一定的配置之后构建出来的包完全相同。
:
--
FROM 113.88.113.*