Meine Meinung:
Wenn ihr den Quellcode nicht auditiert, könnt ihr das gar nicht wissen.
inb4 Sicherheitslücke und Schlagzeile “Telekom muss einräumen: Versäumnisse bei Sicherheitschecks verantwortlich für feindliche Übernahme von 5G durch chinesische Hacker”
Mir ist gerade unklar wie man sicherstellen kann dass die binary die am ende ausgeliefert wird aus dem quellcode kommt der mir gezeigt wurde, solange ich den code nicht auf einem gerät unter meiner kontrolle (von dem ich sicher bin dass es nicht manipuliert wurde) compilieren kann um sicherzustellen dass die binarys identisch sind?
Würde mich interessieren, hast du dafür vielleicht einen link oder ein stichwort nach dem ich suchen kann?
EDIT: oder bringen die tatsächlich eigene hardware mit die dann den raum nicht verlässt?
Das geht in bestimmten Konstellationen, bei bestimmten Firmen, wenn man danach die Festplatte wiped und nur die Hashes/Signaturen mitnimmt. Ist alles sehr komplex. Du kannst natürlich auch eigene Hardware mitnehmen, bekommst den Code als Textdateien, kompilierst den Spaß vor Ort und packst die Binary wieder ein, den Code löschen sie dir wieder runter.
Am Einfachsten wäre es ja, die Hardware-Hersteller würden ihren Code als Source-Available einfach zur Verfügung stellen. Das ist in manchen Hochsicherheitsbereichen auch Usus…
“proprietary code audit room”? Ich spreche da nur aus einer einzigen persönlichen Erfahrung mit Microsoft, ich habe keine Ahnung wie das woanders funktioniert und spekuliere nur anhand dessen was ich mit dem Microsoft-Repräsentanten gequatscht hatte. Man konnte dort einzelne Seiten ausdrucken und sich Notizen auf einem Schreibblock machen, das war’s. Gibt wohl aber auch verschiedene Varianten des Audits. Das war damals in München und ist schon ne ganze Weile her…