维护者签了名就意味着软件包出了问题维护者需要负责，另一个功能是防止在分发的时候被篡改。
可重现构建技术[1]就是让用户验证源码和二进制产物对应的技术，理论上可以做到相同源码产生每一比特都相同的二进制数据。现在Debian官方的数据是已经有20000以上的软件包都是可重现的。[2] 现在最新的是要让每个人从尽量少的二进制数据开始逐步构建一个现代的GNU/Linux操作系统。[3][4] Arch也正在做可重现构建。[5]
如果完全不信任所以的二进制包，还可以使用Gentoo这类完全从源码构建的发行版，只要构建脚本（这个是公开review的）没问题，就可以构建一个可信的操作系统。

[1] https://reproducible-builds.org/
[2] https://wiki.debian.org/ReproducibleBuilds
[3] https://www.gnu.org/software/mes/
[4] https://github.com/oriansj/stage0
[5] https://wiki.archlinux.org/index.php/Reproducible_Builds

【 在 waka (waka) 的大作中提到: 】
: 首先，维护者自己签名担保有多大可信度。
: 又是什么可以保证发行版（appstore,各个安卓应用市场，其他渠道），公开的源码，以及你说的用户经过配置构建出来的包，完全是一个东西。
--
FROM 123.112.66.*