mentebinaria
"Reproducible builds"
Salve, Mercês. Obrigado pelo pacote disponibilizado neste repositório.
Apenas uma sugestão para que fosse possível "Reproducible builds": Uma vez que temos o seu fonte do instalador, o ideal era que você também disponibilizasse a origem ou pelo menos a hash das ferramentas que você utiliza em cada release do retoolkit para que tivéssemos a plena certeza de que o instalador esteja de acordo com as fontes.
Até pelo aviso que você colocou, eu entendo que não tem como colocar exatamente a origem de certas ferramentas que você inclui. Mas o que estou sugerindo é que nesses casos extremos a hash sirva para quem deseja fazer a verificação (ou o "reproducible build").
Quem me garante que um dia você (conscientemente ou não) resolva colocar um spyware no meio da release? =) Justamente para evitar a confiança cega, sugiro essa mudança. Na minha opinião, você tem uma excelente reputação e eu confio que você não faria algo do tipo. Mas vai que? E se um dia tua conta aqui do Github é invadida e lançam sorrateiramente uma nova release com um malware?
Mais uma vez, eu sei que você avisou que talvez não seja seguro usar essas ferramentas mesmo que numa VM temporária. Mas o que estou sugerindo é uma forma de pegarmos seus fontes + arquivos das ferramentas = instalador "limpo" criado pelo usuário, tirando da equação a confiança em uma pessoa.
Obrigado
A sugestão é ótima, @watsondeeuh. Certamente farei isso na próxima release. Além dos perigos que você mencionou, tem o caso de alguma dessas ferramentas já ter algum spyware sem que eu saiba, então também preciso me "imunizar" disso. Colocando os hashes tira minha responsa. Muito obrigado pela sugestão!
Um abraço.
