假设我有一个开源 github 存储库,并且我使用该存储库中的解决方案提供付费服务。
有没有一种方法可以证明,在线服务确实使用了该存储库中的代码/版本,没有修改/添加等?
理想情况下,我正在寻找某种形式的加密证明,而不是“第三方审查”或“赏金计划”。这是很有价值的,因为这些服务的性质是安全的,并且每个用户都希望能够查看代码并确保特定的、未更改的代码版本正在为服务提供动力。我们可以假设在 AWS ECS 或类似服务中运行 docker 镜像,这样我们就可以避免所有平台相关的差异。
问问题
26 次
1 回答
2
这取决于您所说的“证明”是什么意思。Notary v2 项目旨在扩展 OCI 规范以包括容器图像的加密签名。这将允许容器镜像的用户独立验证特定镜像是否由私钥持有者发布(类似于 TLS 证书如何与 https 一起使用)。但是,您似乎要求您的服务的最终用户也能够验证您正在运行的软件。您可以共享镜像的签名,但除非您让用户访问您正在使用的实际容器编排系统,否则他们将无法知道您正在运行您声称正在运行的镜像。
于 2021-05-19T14:19:02.137 回答