如何下载特定LineageOS Android构建的确切源代码?
例如:
https://download.lineageos.org/FP3
sha256 039a65b5365acd4d570fab1c034f450f32f04ca6f5371602adc6a9736bffe015
lineage-19.1-20221031-nightly-FP3-signed.zip
目标:能够手动检查(开放源代码)源代码,并验证在此特定构建中没有任意代码被操纵。
序言
当我从F-Droid下载像Termux这样的应用程序时,我可以:
- 验证PGP签名(验证包的权限和完整性)
- 检查构建日志(检查来自不寻常库的有争议的段落)
- 下载原始源代码tarball并检查源代码(最重要的为我)
如何在特定的LineageOS构建上执行最后一个验证步骤?
指出- https://security.stackexchange.com/q/266348/-此问题从信息安全网络 迁移过来
- https://wiki.lineageos.org/verifying-builds -描述如何验证数字签名的页面(不是如何下载特定版本的源代码)
- https://download.lineageos.org/FP3 -下载Fairphone 3,在那里没有可能下载确切的源代码,也没有看到确切的提交哈希值)
- https://wiki.lineageos.org/devices/FP3/build -如何构建自己的版本(现在关于如何检查一个确切的已经存在的构建的源代码)
- https://wiki.lineageos.org/signing_builds -如何签署我的构建(与上面相同的问题)
- https://mirrorbits.lineageos.org/full/FP3/20221114/lineage-19.1-20221114-nightly-FP3-signed.zip这是一个特定构建的URL,但它的父目录不能访问https://mirrorbits.lineageos.org/full/FP3/20221114/所以我不能告诉是否有任何其他文件(如源代码tarball的确切版本)
- https://github.com/LineageOS/android_device_fairphone_FP3 AFAIK这是Fairphone 3的存储库(但我在下载页面中没有看到特定图像与其特定git标签或git散列等之间的参考)
目前,我似乎必须从下载页面(例如20221114)获取日期,并从官方存储库手动猜测准确的提交哈希值。在我看来,这是一种不科学的做法。
感谢您澄清如何下载任何特定的官方LineageOS构建的确切源代码。
简短的回答,你不能。
长答案:你可以,但这样你永远不会得到同样精确的包。(恕我直言)你也会浪费大量的时间和资源。
LineageOS有大量的回购,它不只是一个回购。您仍然可以从他们的清单中同步整个源代码,并在特定的日期签出所有内容,在您的情况下是在测试构建的日期。之后,您可以使用LineageOS构建指南自己构建一个非官方的构建。但是,它不会与官方版本完全匹配,因为除了其他因素之外,您缺少用于签署官方版本的签名密钥,该密钥是私有的(应该是私有的)。这就是官方版本和非官方版本的区别。
关于签出部分,您可以在这里查看特定构建中添加的最新提交。
祝你好运!