我可以依赖这些GitHub存储库文件吗？

Question

我最近找到了GitHub存储库https://github.com/userEn1gm4/HLuna，但是在克隆它之后，我注意到从源代码( HLuna.cxx )编译的文件(使用g++)和存储库(HLuna)中包含的二进制文件之间的比较是不同的：differ: byte 25, line 1。提供的二进制文件安全吗？

我已经在VirusTotal中进行了分析，没有任何问题，但我不具备反编译和读取输出的专门知识，而且我以前在执行提供的二进制文件时没有考虑到风险。

Answer 1

编译不是跨编译器版本、库版本、操作系统或许多其他不同变量的可直接验证的确定性过程。验证的唯一方法是在程序集级别执行一个diff。虽然有很多工具都能做到这一点，但是您仍然需要把手工工作放进去。

Answer 2

如果软件在源代码级别完全相同，那么问题归结为您是否可以信任编译过程中使用的编译器、系统库和各种实用程序。如果您从受信任的源安装了工具链，并且同时信任您的计算机没有受到破坏，那么就没有理由怀疑您生成的二进制文件将是恶意的，即使它与“引用”构建不同。