<div>
<br><br></div><div class="gmail_quote">On Thu, Jun 9, 2011 at 11:11 AM, Klaatu <span dir="ltr"><<a href="mailto:notklaatu@straightedgelinux.com">notklaatu@straightedgelinux.com</a>></span> wrote:<br><blockquote style="margin: 0px 0px 0px 0.8ex; padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid;" class="gmail_quote">

There's no need to follow links from SlackBuilds.org for anything more than<br>
the SlackBuild itself, which you can audit and verify manually.  Proceed to<br>
your trusted site for the source code, grab the source, edit the SlackBuild<br>
script as needed, and build.<br>
<br>
I guess the larger issue, really, as Ben I think is saying, how do you know<br>
ANY source code you download is trustworthy?  As Ken Thompson says in Ben's<br>
link (great article, btw, thanks for the link Ben)  "The moral is obvious. You<br>
can't trust code that you did not totally create yourself."<br>
<font color="#888888"><br>
-- klaatu<br>
</font><div><div></div></div></blockquote><div><div>To me this comes down to reputation within the community.  I don't know anyone involved in the snort project and have no reason to trust their code except that it is public and open and hopefully there are eyes looking for such things.  But in the end is is a large, faceless community - to me.</div>

<div> </div><div>Enter Niels (thanks, btw, for lending us your reputation for this discussion).  He is part of a much smaller and more well known to me group - the slackbuild contributers.  While I know the slackbuild admins are only reviewing the script, and not Niels copy of of version x.y.z, he has, nevertheless, developed a large positive personal reputation in the community.  He could choose to burn that trust and we likely would not discover it right away.  But the fact that he has earned his reputation over time is an indicator that he is less likely to harm in the future.</div>

<div> </div><div>For me, it is easier to trust Niels then Snort due to the size of ther SB community and my closer connection to it.<br clear="all"></div><div>Perhaps the thing for you to do is spot check his (and others') tar ball against the site's published signature (assuming it is available) for that version.  This would give both trust AND verify .</div>

<div><br>\\Greg<br> </div></div></div>