Бинарная прозрачность
Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.
Android Binary Transparency позволяет пользователям доверять двоичным файлам (например, приложениям, ОС, прошивкам), которые выполняются на их устройствах, и получать большую уверенность в них. Это становится возможным, когда пользователи могут отследить конкретный двоичный файл (включая саму прошивку), который выполняется на их устройствах, до исходного источника (если он доступен) и убедиться, что он не был изменен или подделан даже злоумышленниками, которые могли доступ к ключам подписи двоичного файла.
Обзор
Цепочки поставок программного обеспечения становятся все более уязвимыми для атак, начиная от взлома ключей подписи и заканчивая тайным внедрением кода и инсайдерскими атаками.
Чтобы повысить уверенность и доверие к программному обеспечению, на которое мы полагаемся, мы можем создать журнал прозрачности со следующими свойствами:
- Только добавление: содержимое журнала нельзя удалить, изменить или вставить задним числом незамеченным.
- Криптографически гарантировано: гарантируется свойство «только добавление», используя древовидную структуру данных Меркла.
- Доступен для публичного аудита: любой может запросить содержимое журнала.
Публикация метаданных программного обеспечения в виде содержимого журналов может повысить доверие к двоичным файлам, которым мы доверяем и которые мы используем, путем предоставления проверяемой записи об их происхождении.
Проекты
На сегодняшний день мы запустили два журнала:
Если не указано иное, контент на этой странице предоставляется по лицензии Creative Commons "С указанием авторства 4.0", а примеры кода – по лицензии Apache 2.0. Подробнее об этом написано в правилах сайта. Java – это зарегистрированный товарный знак корпорации Oracle и ее аффилированных лиц.
Последнее обновление: 2024-11-19 UTC.
[[["Прост для понимания","easyToUnderstand","thumb-up"],["Помог мне решить мою проблему","solvedMyProblem","thumb-up"],["Другое","otherUp","thumb-up"]],[["Отсутствует нужная мне информация","missingTheInformationINeed","thumb-down"],["Слишком сложен/слишком много шагов","tooComplicatedTooManySteps","thumb-down"],["Устарел","outOfDate","thumb-down"],["Проблема с переводом текста","translationIssue","thumb-down"],["Проблемы образцов/кода","samplesCodeIssue","thumb-down"],["Другое","otherDown","thumb-down"]],["Последнее обновление: 2024-11-19 UTC."],[[["\u003cp\u003eAndroid Binary Transparency aims to enhance trust in the binaries running on Android devices by enabling users to verify their origins and integrity.\u003c/p\u003e\n"],["\u003cp\u003eThis is achieved by creating a transparent, append-only log of software metadata, cryptographically secured and publicly auditable.\u003c/p\u003e\n"],["\u003cp\u003eUsers can trace a binary back to its source and confirm its authenticity, safeguarding against potential modifications or tampering, even with compromised signing keys.\u003c/p\u003e\n"],["\u003cp\u003eIncreased transparency combats vulnerabilities in software supply chains stemming from compromised keys, code injections, and insider threats.\u003c/p\u003e\n"]]],["Android Binary Transparency aims to enhance user trust in device binaries by enabling verification of their origin and integrity. This is achieved through a transparency log with append-only, cryptographically assured, and publicly auditable properties. The log stores software metadata, allowing users to trace binaries back to their source and confirm they are unmodified. This addresses vulnerabilities in software supply chains, such as compromised keys or code injection. Two transparency logs have been launched: Pixel Firmware Transparency and Google System APK Transparency.\n"],null,["Android Binary Transparency enables users to trust and gain higher confidence\nin the binaries (e.g. apps, OS, firmware) that are executing on their devices.\nThis is made possible when users can trace a specific binary (including the\nfirmware itself) that is executing on their devices back to the original source\n(where available) and verify that it has not been modified or tampered with,\neven by adversaries that may have access to the binary's signing keys.\n\nOverview\n\nSoftware supply chains are increasingly vulnerable to attacks, ranging from\ncompromised signing keys to surreptitious code injection to insider attack.\n\nTo build greater confidence and trust in the software we rely on, we can create\na transparency log with the following properties:\n\n- Append only: content of the log cannot be deleted, modified, or retroactively inserted undetectably\n- Cryptographically assured: guarantee the append-only property by leveraging the Merkle tree data structure\n- Publicly auditable: anyone can query the contents of the log\n\nPublishing the metadata of software as log content can increase confidence in\nthe binaries we trust and run by providing a verifiable record of their\nprovenance.\n\nProjects\n\nTo date, we have launched two logs:\n\n- [Pixel Firmware Transparency](/android/binary_transparency/pixel_overview)\n- [Google System APK Transparency](/android/binary_transparency/google1p/overview)"]]
