如何确保 Android 应用程序确实是从所述源代码编译的？

Question

很多Android应用程序都是开源的，但是我们如何确保最终上传到Google Market的人在上传之前不会包含一些间谍软件呢？

背景：移动应用程序安全似乎越来越令人担忧，我我想让我的开源 Android 应用程序的用户放心。需要修改部署过程或应用程序内容的解决方案也是可以接受的。

2012 更新： 这是朝着正确的方向发展：http://f-droid.org / 他们检查应用程序并将其编译成他们分发的 APK。话虽这么说，我会更信任他们 如果他们是 Mozilla 或 Apache...

Answer 1

看看 https： //stackoverflow.com/questions/249106/how-can-you-give-users-confidence-that-your-application-has-no-malicious-intent 了解一些相关信息。

您当然可以获取源代码并自己构建/编译它，并将生成的二进制文件与上传的二进制文件进行比较，但这在某种程度上违背了二进制分发的目的。如果源代码确实包含恶意代码，它仍然无济于事。或者也许构建一个安全的，即可信的参考二进制文件，然后发布校验和进行比较？

除此之外，这个问题确实不是开源软件特有的。最终，这一切都归结为信任。