是否有任何方法来验证一个运行开源SaaS的组织是否在使用未被篡改的软件版本？

Question

一些组织已经开始提供对运行开放源码软件(邮件服务器、聊天服务器)的服务器的访问，这些服务器由这些组织操作和维护，并收取象征性的定期维护费用。

通常情况下，这个软件的源代码可以在Github或Bitbucket上使用，或者以一些易于访问的格式提供给那些知道如何设置它并且不介意自我托管的麻烦的人。

但是是否有任何方法来验证在这些远程服务器上运行的代码是否是版本控制系统中保存的代码，最好是以无信任的方式保存？

在我的经验中，增强服务器抵御攻击的能力，有一个针对攻击者的安全主机设置通常等同于拥有一个黑匣子主机，只有一个公开的web API。

Answer 1

简短的回答--几乎一点也不知道。这个问题相当于黑匣子探测。你可以把特定的输入放进盒子里，得到一定的结果--盒子在输入和输出之间到底在做什么？看不出来。哪些其他进程或设备可以访问相同的存储设备？看不出来。

“几乎”是因为可能存在边带攻击，可以让您确定平台的某些方面。例如，JavaScript中的边带攻击允许沙箱式浏览器代码确定浏览器之外的活动(最近的攻击)，而精心编制的代码可能会显示平台是否以应有的速度、一致性和定时进行响应。但它不太可能运行良好，尤其是因为服务器可能被虚拟化，由于这个原因，时间可能变化太快，这也是因为太多的代码修改和硬件设置可能无法为任何可测量的指标创建用户可检测/远程可检测的变化。