こういう記事を見る度に思うのだが、目の前のソースコードが、自分が使うバイナリを構築したのと同一のものであることをどうやって確認するんだろう。それができなきゃソースコードを監査する意味がないと思うんだが。だから究極的にはきちんとライセンスを結んだ相手には閲覧しているコードを使ってバイナリを構築し配布する権限を与えなきゃだめ。バックドアを云々するならなおさらのことだよね。

まぁもっともこういうのは疑い出すと切りがないわけで、じゃあバイナリを構築するのに使うコンパイラやリンカは大丈夫なのか(変なコードを差し込むような仕掛けが組み込まれたないか)って話になってくるわけで、「自分が作ったものしか/自分の目に見えているものしか信用できない」というのは間違いではない。あんまりこだわるとコストがかかって仕方ないから、どこでバランスを取るかが肝心である、と。