如何检查下载的开源文件的完整性？

Question

我想开始检查我在应用程序中使用的开源项目是否是开发人员发布的。我注意到许多项目都有 SHA1 和 MD5 摘要，大概这些很容易被篡改，例如，如果黑客替换镜像上的原始 zip 文件，他们也可以替换 .md5 和 .sha1。

如何检查我所依赖的第三方开源库的完整性？

Answer 1

我认为，没有可信的方法，因为黑客可能会更改源文件及其（md5 或 sh1）文件。他可能只是用另一个项目替换整个项目。
因此，请从可信站点（例如 sourceforg 和 code.google.com）以及这些站点推荐的 codeproject 和镜像下载源代码。

Answer 2

通常是一个开源项目，尽管开放给所有人下载和自行修改，但实际更改上传文件的能力仅限于项目所有者管理的某些个人。

一个很好的例子是 https://github.com/thecodemine/formwizard，您可以在其中看到一个 read-只能链接，未经授权不能直接修改。

但是，您可以将项目分叉到您自己的帐户并根据需要进行修改，例如 https://github.com/AlexKey /formwizard

我也猜测像linux发行版这样的大型开源项目，即使是由授权个人上传的代码/文件在正式发布之前也会经过严格的审查。

当然，入侵系统的黑客可以随意更改文件，但这并不是开源模型的弱点，而是可能成为任何项目的问题。

代码签名之类的东西也有助于检测未经授权的修改。

http://en.wikipedia.org/wiki/Code_signing

代码签名是对可执行文件进行数字签名的过程
脚本来确认软件作者并保证代码已
由于它是通过使用签名而没有被更改或损坏
加密哈希。

Answer 3

你还没有用谷歌搜索你的问题。如果您这样做，您将获得很多相关内容。下面的链接将教您如何检查下载文件的完整性。

https://help.ubuntu.com/community/HowToMD5SUM

您还可以查看以下链接，由此可见，修改或替换.md5和.sh1文件是非常困难的。

<一href="http://books.google.co.in/books?id=AHzAcvHWbx4C&pg=PA305&lpg=PA305&dq=can+a+hack er+modify+the+md5+hashes&source=bl&ots=c2kDjYXSXE&sig=-ZIEzo8Q66Go0fLkn1HTyvho0sw& hl=en&ei=GiLPTu_UA5HxrQeCot2xDA&sa=X&oi=book_result&ct=结果&resnum=9&sqi =2&ved=0CG0Q6AEwCA#v=onepage&q=can%20a%20hacker%20modify%20the%20md5%20hashes&f=false" rel="nofollow">这是链接。