<div dir="ltr"><div dir="ltr">On Thu, Apr 9, 2020 at 6:04 PM John-Mark Gurney <<a href="mailto:jmg@funkthat.com">jmg@funkthat.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Jeremy Stanley wrote this message on Thu, Apr 09, 2020 at 06:11 +0000:<br>
> On 2020-04-08 21:44:34 -0700 (-0700), John-Mark Gurney wrote:<br>
> > Jeremy Stanley wrote this message on Wed, Apr 08, 2020 at 23:45 +0000:<br>
> > > On 2020-04-08 15:10:45 -0700 (-0700), John-Mark Gurney wrote:<br>
> > > [...]<br>
> > > > So, the best thing about Jitsi is that you can self host to ensure<br>
> > > > the security of the server.<br>
> > > [...]<br>
> > > <br>
> > > Well, and it uses standards-based protocols, and you get all the<br>
> > > source code, and you have the right to modify and redistribute it,<br>
> > > and the ability to run it without having to pay licensing fees to<br>
> > > the authors, and... basically all the benefits of relying on<br>
> > > free/libre open source software instead of some proprietary platform<br>
> > > which you'll at best be able to audit under a nasty NDA and won't be<br>
> > > able to legally modify at all if you need <br></blockquote><div>.... </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> So the fact that everyone has access to the source code for software<br>
> with bugs makes it inherently worse than software with bugs only the<br>
> authors have the source code for? Got it. Thanks for the insightful<br>
> life lesson.<br>
<br>
No.  You totally misunderstood my point.  My point was that there isn't<br>
any guarantee that the source that the OSS author publishes is what the<br>
end user uses/audits because the authors don't ensure secure code<br>
delivery...<br></blockquote><div> </div><div></div></div><div>If you are building and looking at code..<br>    Woops, had the order wrong.<br>If you are looking at and building code the result is one you have control over.<br>The check sums and versioning in GIT are decent and correspond with the author<br>for additional checks.<br><br>"Targeted to you changes" are imaginable but a modest remote service in another time zone or nation<br>can let you pull, transfer and locally compare.<br><br>At some point you have to bootstrap your own hardware, compiler, OS etc.  to get big solid turtles. </div><div><br></div><div>Woops missed a key point.<br>A company that has a product based on OSS leaves you with a trust issue.  You do have to trust<br>that the code they use is the public code you can and did examine and feel good about.  You have </div><div>to trust their tool chain and more. <br><br>So yes there is a bit of a trust bridge to cross here. </div><div><br><br><br></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr">          T o m    M i t c h e l l ( o n   N i f t y E g g )<br></div></div></div></div></div></div></div></div></div>