Предположим, у меня есть репозиторий github с открытым исходным кодом, и я предлагаю платные услуги, используя решение в этом репо.

Есть ли способ доказать, что онлайн-сервис действительно использует код / ​​выпуск из этого репозитория без изменений / дополнений и т. д.?

В идеале я ищу какое-то криптографическое доказательство, а не «сторонний обзор» или «программу вознаграждений». Это ценно, если природа этих сервисов безопасна, и каждый пользователь хотел бы иметь возможность просмотреть код и убедиться, что конкретная неизмененная версия кода обеспечивает работу сервисов. Мы можем предположить запуск образа докера внутри AWS ECS или аналогичного сервиса, чтобы избежать всех различий, зависящих от платформы.

0
Rustem Mustafin 19 Май 2021 в 00:11

1 ответ

Лучший ответ

Это зависит от того, что вы подразумеваете под «доказывать». Задача Notary v2 - расширить спецификацию OCI за счет включения криптографических подписей образов контейнеров. Это позволит пользователю образа контейнера независимо проверить, что конкретный образ был опубликован держателем закрытого ключа (аналогично тому, как сертификаты TLS работают с https). Однако похоже, что вы запрашиваете возможность для конечных пользователей вашей службы также проверять программное обеспечение, которое вы используете. Вы можете поделиться подписями изображений, но если вы не предоставите пользователям доступ к фактической системе оркестрации контейнеров, которую вы используете, они не смогут узнать, что вы запускаете изображения, которые, как вы утверждаете, запущены.

2
Nick C 19 Май 2021 в 14:19