TAINT：供應鏈注入的鏈上證明，無需人工審查的獎勵機制

分享一個我希望徵求反饋的早期階段協定設計。

現有的供應鏈防禦機制僅驗證產物（artifact）是否由預期且盲目信任的組件構建而成。它們並未回答以下問題：

是否有人能將任意位元組植入已發佈的產物中？

TAINT 獎勵針對「植入能力」的加密證明。索賠者（claimer）提交一個秘密，合約衍生出一個不可預測的挑戰，索賠者必須使衍生的旗標（flag）出現在已發佈產物的指定區域內，然後透過 Merkle 證明其存在。

智能合約會自動驗證並支付獎金。

如果有人能植入一個無害的旗標，他們就能植入惡意軟體；獎勵無害版本可以在該能力被濫用前將其揭露。

論文與程式庫：GitHub - juli/taint: TAINT: Crypto protocol for testing software supply chain integrity · GitHub

徵求對整個協定的通盤回饋：包括架構、在更寬鬆的提取策略下的研磨分析（grinding analysis）、熵源（entropy source）的權衡，以及獎勵機制（特別是控制權索賠與傳播）。

也歡迎提供我可能遺漏的先前技術；我找到最接近的相關項目是 CHEESECLOTH 和各種證明框架（簽名、可重現構建、SLSA、in-toto、Sigstore），但 TAINT 證明的屬性與兩者皆不同。

很樂意在討論串中深入探討任何部分。

        1 則貼文 - 1 位參與者

        [閱讀完整主題](https://ethereum-magicians.org/t/taint-on-chain-proof-of-supply-chain-injection-rewards-without-the-human-triage/28307)