Deployment 你能证明一个网站/服务使用了一个特定的开源代码库吗?
假设有一个已部署的公共网站/web服务。他们说这是一个开源代码库的实例。他们能向我证明吗 例如,以有用的www.s3auth.com为例,这是一个针对S3的HTTP身份验证网关,它允许您对托管在S3上的静态站点进行密码保护(感谢)。Yegor慷慨地将服务开源,以缓解隐私问题: 我把这个软件开源主要是为了向我的用户保证服务器不会将他们的私有数据存储在任何地方,而只是作为一种传递服务。因此,软件处于打开状态Deployment 你能证明一个网站/服务使用了一个特定的开源代码库吗?,deployment,cryptography,open-source,Deployment,Cryptography,Open Source,假设有一个已部署的公共网站/web服务。他们说这是一个开源代码库的实例。他们能向我证明吗 例如,以有用的www.s3auth.com为例,这是一个针对S3的HTTP身份验证网关,它允许您对托管在S3上的静态站点进行密码保护(感谢)。Yegor慷慨地将服务开源,以缓解隐私问题: 我把这个软件开源主要是为了向我的用户保证服务器不会将他们的私有数据存储在任何地方,而只是作为一种传递服务。因此,软件处于打开状态 他能向用户证明www.s3auth.com实际上使用了Github上的确切代码库吗?简短回答
他能向用户证明www.s3auth.com实际上使用了Github上的确切代码库吗?简短回答 一般情况下:否,在特定时间段内未对软件、硬件和网络基础设施进行完整的外部审计 解释 确保一个软件符合规范,它不是一个微不足道的任务。请注意,即使要求实际使用Github上的确切代码库也不清楚:
- Includes any part of the repository
- Includes a full tag
- Includes a full tag at a point of time
- Includes a full tag at a point of time and uses some functionality
- Includes a full tag at a point in time and uses a significant part of the functionality
- Includes a full tag at a point in time, uses a significant portion of the functionality, and there is no additional function that substantially modifies the behavior
- Includes a full tag at a point of time, uses a significant part of the functionality, and there is no additional function
- etc
审计员应检查:
- 确保满足要求的代码
- 验证可交付成果是否符合预期且不包括或移除零件的构建过程
- 硬件基础结构,以确保软件是部署的,而不是按原样更改
- 用于验证部署版本的网络基础结构与用户得到的版本完全相同