我有一个可以在线获取代码的软件。我想让最终用户毫无疑问地认为,在线可用的已编译二进制文件属于该代码。
可以有哪些选择来实现这一目标?感谢您的反馈。
[我假设在线副本受到信任(例如,它是您的私人github,而您信任github),否则用户将二进制文件与在线副本进行比较就没有意义了。
我还假设您是构建官方二进制文件的人,否则无法保证它们是由可信赖的过程生成的。
在这些假设下,您可以计算二进制文件的sha256,并使用哈希标记从中构建二进制文件的修订版。
然后,用户可以对二进制文件进行哈希处理并将它们与标签进行比较。