如何保护开源众包软件的凭据?

时间:2015-06-01 22:40:13

标签: security github open-source credentials

我们正在开发用户可以下载,在其系统上运行的开源基准测试软件(为某些东西运行一些基准测试),然后将结果上传到中央数据库。然后,这些匿名的,众包的基准测试结果将显示在网站上供所有人查看。

该软件的一大特色是它是开源的。它将在GitHub上托管,并将包含任何人自行下载和编译源代码的说明,以保证您的安心,或者只是让人们不相信我们的程序。

但我们显然无法透露允许软件将基准测试结果上传到我们的中央数据库的安全凭证。因此,我们不会将这些内容包含在公共资源中。

所以人们可以自己编译软件(这很好)并使用它,但它将无用,因为软件无法上传到数据库,这是众包软件的全部目的。因此,用户将被迫使用具有隐藏在其中的凭据的软件的“我们的构建”。很多人都很聪明,最近也不会厌烦陌生的.exe,所以这对情况没有帮助。此外,由于源是开放的,任何人都可以修改它,编译它并恶意分发,说它是我们的软件。

如何解决开源软件中的安全凭证问题?显然,规则#1是您不将其包含在分布式源中。但是,如果软件需要凭据才能按预期运行,那么您会怎么做?我们希望保持开源,以便用户有理由信任该软件。

1 个答案:

答案 0 :(得分:1)

您可以要求每个项目所有者注册到您的网站,为他们创建公钥/私钥对,并使用非对称加密来识别您的结果来源