二進位檔透明化

Android 二進位檔透明度可讓使用者信任裝置上執行的二進位檔 (例如應用程式、作業系統、韌體)，並對其更有信心。使用者可以追蹤裝置上執行的特定二進位檔 (包括韌體本身) 的原始來源 (如有)，並驗證該二進位檔是否經過修改或竄改，即使是可能存取二進位檔簽署金鑰的攻擊者也無法竄改。

總覽

軟體供應鏈越來越容易遭受攻擊，包括簽署金鑰遭盜用、偷偷插入程式碼，以及內部攻擊。

為提高對所用軟體的信心和信任度，我們可以建立具有下列屬性的透明度記錄：

• 只能附加：無法刪除、修改記錄內容，或以無法偵測的方式追溯插入內容
• 加密保證：運用 Merkle 樹狀資料結構，確保只能附加資料
• 可公開稽核：任何人都能查詢記錄內容

將軟體的中繼資料發布為記錄內容，可提供可驗證的來源記錄，提高對我們信任及執行的二進位檔的信心。

專案

目前為止，我們已推出兩項記錄：

• Pixel 韌體透明度
• Google 系統 APK 程式碼資訊公開
• Google 第一方應用程式資訊公開
• Android Mainline 模組透明度