Goバイナリのメタデータは信用してもいいのか
実際はバイナリのメタデータをバイナリエディタ等で直接書き換えても、そのまま実行できてしまう。そのため、メタデータに正規なバージョンが入っていることを根拠に信用することはできない。
なんだけど、Goのバイナリが再現可能にならなくなる要因を回避することができれば再現可能なビルドになるので、配布されたバイナリと手元で比べて検証できる。
実際はバイナリのメタデータをバイナリエディタ等で直接書き換えても、そのまま実行できてしまう。そのため、メタデータに正規なバージョンが入っていることを根拠に信用することはできない。
なんだけど、Goのバイナリが再現可能にならなくなる要因を回避することができれば再現可能なビルドになるので、配布されたバイナリと手元で比べて検証できる。