Authentification des releases
Salut, j'aimerai installer cesium sur mon téléphone mais les seules options de téléchargement sont Google Play ou GitHub: c'est à dire un GAFAM d'Internet ou un GAFAM du logiciel. Je n'ai aucune confiance en ces plateformes, les fichiers que vous uploadez pourraient être modifiés pour inclure des trackers, des spywares ou d'autre backdoor. Concernant une application censée garder en sécurité ma clé privée, c'est un peu embêtant.
Je pense que la solution la plus simple serait de signer les fichiers en PGP, et de publier votre clé publique sur les keyservers et sur votre site web. De cette façon, toute corruption du fichier serait détectée en vérifiant la signature et assurerait que le fichier que les utilisateur téléchargent soit le même que celui que vous avez uploadé.
Merci de votre compréhension.