<div dir="ltr"><div dir="ltr">NP Singh and list,<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jun 29, 2023 at 12:15 PM nr via QGIS-User <<a href="mailto:qgis-user@lists.osgeo.org">qgis-user@lists.osgeo.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Dear Users,<br><br>I wanted to make a general query. <br><br>How do we establish the authenticity of freely available online softwares or tools in general which can be downloaded from links are used from the page itself<br><br>How do we know if they are  certified by professional bodies or they are peer reviewed just like journal papers.<br><br>I understand that the softwares may have certain limitations or applicable with conditional inputs  and we need to know them before using.<br><br></blockquote><div>As to authenticity, you will see on many download sites the offer to download verification keys, which when applied demonstrate authenticity to some degree (provided that the organization's site hasn't been fully hacked).</div><div><br></div><div>Read these QGIS instructions as an example of how this is done.  <a href="https://www.qgis.org/en/site/forusers/alldownloads.html#debian-ubuntu">https://www.qgis.org/en/site/forusers/alldownloads.html#debian-ubuntu</a></div><div><br></div><div>You may well ask "how do I know my copy of Windows is genuine", which may be an interesting thought experiment.</div><div><br></div><div>As to certified by professional bodies, you are unlikely to find professional bodies willing or able to certify software.  Again, you will find the same problem with commercial software.  Some particular software is audited, typically software that claims some kind of privacy or security.   Here is an example of this kind of thing:</div><div><br></div><div><a href="https://www.securemessagingapps.com/">https://www.securemessagingapps.com/</a></div><div><br></div><div>In any case, which professional body's recommendations might you trust with your organization's security?  I can't name one, offhand.</div><div><br></div><div>As to peer review, open source facilitates peer review and security fixes, closed source impedes or even precludes it.  Closed source, when provided for peer review, is often under non-disclosure of some kind, which limits what we know about it.</div><div><br></div><div>In summary, policies don't protect your organization's information nor systems - you do.<br></div></div><br><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr">Chris Hermansen · clhermansen "at" gmail "dot" com<br><br>C'est ma façon de parler.</div></div></div>