O ponto de partida canônico para entender tudo isso é o Reflections on Trust Trust de Ken Thompson, onde ele demonstra que você nunca pode realmente confiar em um sistema para não ter portas de trás, mesmo se você reconstruir a partir da fonte.
A iniciativa de compilações reproduzíveis no Debian visa ajudar a fornecer garantias de confiança aos usuários, apesar disso. Imagine que você está executando uma auditoria de segurança em um sistema como o Debian: você lê o código-fonte e garante que ele atenda aos seus requisitos. Mas quando você usa um sistema como o Debian, você não usa o código fonte; você usa binários fornecidos pela distribuição. Como você pode ter certeza de que os binários realmente correspondem ao código-fonte que você auditou?
Como está, você não pode: os computadores usados para construir os binários podem ter sido comprometidos, ou talvez até mesmo o mantenedor do pacote tenha feito o upload de um binário comprometido que não correspondia ao código-fonte.
Com compilações reproduzíveis, os binários vêm com informações suficientes para que você possa pegar o código-fonte publicado, reconstruir os binários e obter binários idênticos de byte a byte para aqueles publicados nos arquivos. Isso prova que o código-fonte corresponde aos binários, portanto, os resultados de sua análise do código-fonte também podem ser aplicados aos binários, contanto que você possa dizer o mesmo de todos os outros binários que contribuem para criar os binários ' re analisar. Isso significa que você precisa ser capaz de reproduzir o compilador, as bibliotecas etc. que estão envolvidas; e então você precisa ser capaz de construir, de forma reprodutível, a distribuição complere, que é o que as compilações reprodutíveis do Debian têm como objetivo.