kaaffilm/MK10-PRO

## 公共包层面 | 层面 | 角色 | 命令 | | --- | --- | --- | | PYPI | Python 安装及规范运行时见证 | `pip install mk10-pro==1.0.3 && mk10 proof` | | NPM | 公共注册表发现层面 | `npm view @kaaffilm/mk10-pro@1.0.3 version` | | PKG | GitHub Packages 注册表面 | `npm install @kaaffilm/mk10-pro --registry=https://npm.pkg.github.com` | 规范运行时命令： ``` mk10 proof mk10 boundary mk10 witness ``` MK10-PRO 具有唯一的真实来源：GitHub `main` 和已签名的 release。 NPM 和 PKG 是启动器/发现层面，而不是规范运行时见证。它们不重新实现 MK10-PRO，不扩展其声明边界，并且不授权任何版本提升。 ## 公共包边界 MK10-PRO 具有两个不同权限的公共层面： - **GitHub `main`** 是当前受控的源层面。 - **PyPI `mk10-pro` 1.0.2** 是在当前源边界清理之前发布的不可变历史包构件。 当前源状态： - 包版本：`1.0.2` - 仓库许可证边界：`Apache-2.0` - PyPI 发布：通过 `PYPI_RELEASE_POLICY.md` 和 Trusted Publishing 为 v1.0.3 启用。 - 新包发布必须仅使用受控的发布工作流。 现有的 PyPI 1.0.2 包是历史版本。PyPI 1.0.3 是当前已发布的见证包。GitHub `main`、已签名的 release 和包边界文件定义了所维护的源状态。 ## 禁止版本提升包锁 MK10-PRO 公共包层面已锁定在 `1.0.3`。 请勿提升公共包版本以修复不可变的注册表构件。 规范运行时证明保持为： ``` pip install mk10-pro==1.0.3 mk10 proof ``` NPM 和 PKG 仍是公共包层面，但它们不是规范运行时见证。 ## MK10-PRO 1.0.3 完成锁 MK10-PRO `1.0.3` 是已完成的公共包层面。 公共层面： ``` PYPI: mk10-pro==1.0.3 — canonical runtime witness NPM: @kaaffilm/mk10-pro@1.0.3 — public registry discovery surface PKG: @kaaffilm/mk10-pro@1.0.3 — GitHub Packages surface ``` 最终证明： ``` bash scripts/public-surface-proof.sh ``` 没有授权提升版本来修复不可变的注册表构件。 ## 从这里开始 已安装的包： ``` pip install mk10-pro==1.0.3 mk10 proof mk10 boundary mk10 witness ``` 源码检出： ``` git clone https://github.com/kaaffilm/MK10-PRO.git cd MK10-PRO bash scripts/release-proof.sh ``` Release 标识： ``` MK10-PRO v1.0.3 — Witness Release ``` 成功输出行： ``` MK10-PRO PROOF: PASS MK10-PRO BOUNDARY: PASS MK10-PRO WITNESS: PASS MK10-PRO RELEASE PROOF: PASS ``` ``` SYS-002 MK10-PRO Execution index (frozen) STATUS: REGISTERED REGISTRY: https://speedkit.eu SNAPSHOT: https://speedkit.eu/REGISTRY_SNAPSHOT.json ``` 已注册系统。身份由 SPEEDKIT 注册表管理。 # MK10-PRO v1.0 — 确定性交付前真实基础设施 关于范围限制和常见误解，请参见： - [CANONICAL.md](CANONICAL.md) - [ADVERSARIAL_FAQ.md](ADVERSARIAL_FAQ.md) ## 执行定义（非营销） **MK10-PRO 是确定性的视听基础设施，它将母带制作转化为可证明的、持久的事实，而不是受信任的输出。** 如果一项声明无法被证明——母带是如何制作的，是什么改变了它，什么规则支配着它，谁批准了它的提升，或者它是否*在声明的规范下正式可播放*——MK10-PRO 都会视该声明为无效。 这不是一个工具。这是基础设施。 ## 系统公理（不可变） 1. **真实是可执行的** — 声明只能从执行中产生。 2. **证据即产品** — 文件是输入，而不是结果。 3. **策略即法律** — 配置不能覆盖规则。 4. **验证是敌对的** — 无需引擎，无需信任，无需权威。 5. **确定性是强制性的** — 相同的输入必须产生相同的输出。 6. **范围止步于机构之前** — 硬件、场地、操作员均超出范围。 如果违反了任何公理，MK10-PRO 在定义上即为无效。 ## 快速开始 ``` # 安装依赖项 pip install -r requirements.txt # OR make install # 导入源资产 mk10 ingest --source /path/to/assets # 执行 mastering pipeline mk10 execute --dag pipeline.yaml # 提升为 release mk10 promote --title "MyTitle" --version "v1.0" --state RELEASE # 验证 MTB mk10 verify --mtb /path/to/mtb.zip ``` ### 运行时依赖 **必需：** - `pyyaml>=6.0` — YAML 解析（策略规则，配置） - `jsonschema>=4.0` — JSON 模式验证（MTB，证据，摄入） - `click>=8.0` — CLI 框架 - `cryptography>=41.0` — 密码学操作 - `pycryptodome>=3.19.0` — 额外加密支持 **完整列表：** 请参见 `requirements.txt` ## 真正的产品：母带真相包 (MTB) 文件不是产品。 **母带真相包 (MTB)** 才是产品。 MTB 是一个密封的、自包含的、可验证的对象，它将标题/版本作为事实来表示。 如果 MTB 验证通过，标题即存在。 如果未通过，标题即不真实。 ## 管理承诺 — “没有文件会被遗漏” 只有当一个母带始终能够做到以下几点时，才被认为是安全的： 1. 可定位 2. 可验证 3. 可解释 4. 可复现 5. 在其规范下被证明正式可播放 6. 无歧义地重新交付 如果任何条件失败，MK10-PRO 将拒绝该声明。 ## 许可证 详情请参见 LICENSE 文件。 ## 最终权威声明 如果 MK10-PRO 声明一个标题存在，它就存在。 如果 MK10-PRO 拒绝一项声明，该声明即为无效。 没有信任的诉求。 只有证明。 ## v1.0.3 最终公共层面完成锁 MK10-PRO v1.0.3 是已完成的公共包层面。 公共层面： | 层面 | 状态 | | --- | --- | | PYPI | 规范运行时见证 | | NPM | 公共注册表发现层面 | | PKG | GitHub Packages 包层面镜像 | 完成锁： ``` 1.0.3 ``` 请勿提升公共包版本以修复不可变的注册表构件。 PyPI 仍是规范运行时见证。NPM 和 PKG 仍仅作为公共包层面。 ## MK10-PRO v1.0.3 公共重放边界 MK10-PRO v1.0.3 仅当公共重放边界锁定到 `1.0.3` 时才算完成。 重放层面： ``` PYPI: mk10-pro==1.0.3 — canonical runtime witness NPM: @kaaffilm/mk10-pro@1.0.3 — public registry discovery surface PKG: @kaaffilm/mk10-pro@1.0.3 — GitHub Packages surface ``` 重放证明： ``` bash scripts/public-replay-proof.sh ``` 不得为了修复不可变的注册表构件而提升公共包版本。 PyPI 仍是规范运行时见证。NPM 和 PKG 仍仅作为公共包层面。 ## MK10-PRO v1.0.3 审计员入口点 公共审计从这里开始： ``` bash scripts/auditor-replay-proof.sh ``` 审计员入口点确认： * 源真相仍为 GitHub `main` 和 release `v1.0.3`； * PyPI 仍是规范运行时见证； * NPM 和 PKG 仍仅作为包/发现层面； * 公共包版本仍锁定在 `1.0.3`； * 公共层面证明和公共重放证明均通过。 请勿提升公共包版本以修复不可变的注册表构件。 请参见： * [`AUDITOR_START_HERE.md`](AUDITOR_START_HERE.md) * [`docs/AUDITOR_REPLAY.md`](docs/AUDITOR_REPLAY.md) ## MK10-PRO v1.0.3 外部审计包 外部审计员入口点： ``` bash scripts/audit-packet-proof.sh ``` 此操作验证： - 公共层面锁 - 公共重放边界 - 审计员重放入口点 - 禁止版本提升规则 - PyPI 规范运行时见证 - NPM / PKG 公共层面边界 审计包不扩展声明边界。 ## MK10-PRO v1.0.3 审计收据 机器可读的审计收据： ``` bash scripts/audit-receipt-proof.sh ``` 该收据证明了： - 公共层面证明已通过 - 公共重放边界已通过 - 审计员重放入口点已通过 - 外部审计包已通过 - 版本仍为 1.0.3 - PyPI 仍是规范运行时见证 - NPM 和 PKG 仍是非规范的公共包层面 - 未提升任何公共包版本 该收据是证据输出，而不是新的声明层面。 ## MK10-PRO v1.0.3 审计收据模式 机器可验证的收据模式： ``` bash scripts/audit-receipt-schema-proof.sh ``` 独立收据验证： ``` node scripts/verify-audit-receipt.cjs /path/to/MK10_PRO_AUDIT_RECEIPT.json ``` 这会将收据结构固定在 v1.0.3 并保留禁止版本提升规则。 ## MK10-PRO v1.0.3 审计收据阴性对照 审计收据验证器必须拒绝被篡改的收据： ``` bash scripts/audit-receipt-negative-proof.sh ``` 阴性情况包括版本漂移、见证漂移、NPM 规范化、失败的证明链状态、无效的哈希绑定、错误的源 release、已禁用的禁止版本提升规则以及声明边界扩展。 ## MK10-PRO v1.0.3 外部审计门 通过一个命令运行完整的外部审计层面： ``` bash scripts/external-audit-gate.sh ``` 这会执行公共层面锁、公共重放边界、审计员重放入口点、外部审计包、审计收据、审计收据模式验证器、阴性对照、针对性测试以及 NPM 层面验证。 ## 离线审计锁 MK10-PRO v1.0.3 包含一个离线审计锁： ``` bash scripts/offline-audit-lock.sh ``` 此验证器在检出（checkout）后是本地/静态的。它不会安装包、查询 npm/PyPI、调用 GitHub API 或将实时注册表状态提升为规范真相。 ## v1.0.3 气隙审计包 MK10-PRO v1.0.3 现在包含一个气隙审计包。 在检出后，该包可在没有注册表查找、网络获取、GitHub API 访问、包安装或版本提升的情况下验证本地审计边界。 验证器： ``` bash scripts/airgap-audit-bundle.sh ``` ## 气隙审计阴性对照 MK10-PRO v1.0.3 包含气隙审计阴性对照层。 它验证气隙审计包是否会拒绝版本漂移、缺少所需证据、禁用的工作流连接、离线锁继承的丢失，以及检出后禁止的网络或包安装命令。 ``` bash scripts/airgap-audit-negative-controls.sh ``` 气隙审计包 气隙审计阴性对照 离线审计锁 外部审计门 审计收据阴性对照 禁止版本提升 ## 气隙审计摘要锁 v1.0.3 气隙审计摘要锁仅从仓库检出中计算离线重放边界、气隙包和气隙阴性对照的 SHA-256 摘要。 `sh bash scripts/airgap-audit-digest-lock.sh ` ## 气隙审计 release 门 MK10-PRO v1.0.3 包含一个气隙审计 release 门。 运行： ``` bash scripts/airgap-audit-release-gate.sh ``` 此门从仓库检出中重放离线审计锁、气隙审计包、气隙审计阴性对照和气隙审计摘要锁，而无需网络获取、注册表查找或包安装。 ## MK10-PRO v1.0.3 公共 release 封印 MK10-PRO v1.0.3 受 PUBLIC_RELEASE_SEAL.json 和 RELEASE_INDEX.json 约束。 公共 release 封印仅用于发现和 release 门绑定。它不会改变包行为、功能层面、CLI 标志或包版本。 验证： ``` bash scripts/public-release-seal.sh ``` ## 公共包安装重放 MK10-PRO v1.0.3 包含一个公共包安装重放边界。密封的 npm 层面在本地打包，通过本地 tarball 安装到一个干净的消费者，并在检出后通过阻止注册表访问进行验证。 - 契约：`PUBLIC_PACKAGE_INSTALL_REPLAY.json` - 证明：`scripts/public-package-install-replay.sh` - 工作流：`.github/workflows/public-package-install-replay.yml` ## MK10-PRO v1.0.3 公共注册表 Release 准备情况 v1.0.3 公共注册表 release 准备情况门由以下内容捕获： - `PUBLIC_REGISTRY_RELEASE_READINESS.json` - `docs/PUBLIC_REGISTRY_RELEASE_READINESS.md` - `scripts/public-registry-release-readiness.sh` - `.github/workflows/public-registry-release-readiness.yml` - `tests/test_public_registry_release_readiness.py` 此门验证在面向注册表的 release 活动之前，公共 release 封印和公共包安装重放是否仍然存在。 ## MK10-PRO v1.0.3 公共注册表构件锁 v1.0.3 公共注册表构件锁记录了 `@kaaffilm/mk10-pro@1.0.3` 已发布的 npm 构件元数据，包括注册表完整性、校验和 (shasum) 和 tarball 标识。 验证： ``` bash scripts/public-registry-artifact-lock.sh ``` ## MK10-PRO v1.0.3 公共注册表构件锁 v1.0.3 公共注册表构件锁记录了 `@kaaffilm/mk10-pro@1.0.3` 已发布的 npm 构件元数据，包括注册表完整性、校验和 (shasum) 和 tarball 标识。 ## MK10-PRO v1.0.3 公共注册表安装重放 MK10-PRO v1.0.3 包含一个公共注册表安装重放层。 一个干净的外部 npm 消费者直接从公共 npm 注册表安装 `@kaaffilm/mk10-pro@1.0.3`，并根据 `PUBLIC_REGISTRY_ARTIFACT_LOCK.json` 验证已安装的 package-lock 完整性和 tarball。 运行： ``` bash scripts/public-registry-install-replay.sh ``` ### MK10-PRO v1.0.3 公共注册表安装重放 release 对象封印 公共注册表安装重放封印通过 `PUBLIC_REGISTRY_INSTALL_REPLAY_RELEASE_OBJECT_SEAL.json` 绑定到 git 历史中。 重放： ``` bash scripts/public-registry-install-replay-release-object-seal.sh ``` ## MK10-PRO v1.0.3 公共注册表安装重放终结索引 v1.0.3 公共注册表安装重放现在具有一个仓库本地的终结索引，绑定了原始版本标签、公共注册表安装重放封印、release 对象 git 见证封印和公共 npm 构件。 - 契约：`PUBLIC_REGISTRY_INSTALL_REPLAY_FINALITY_INDEX.json` - 重放：`scripts/public-registry-install-replay-finality-index.sh` - 见证：`docs/PUBLIC_REGISTRY_INSTALL_REPLAY_FINALITY_INDEX.md` ### MK10-PRO v1.0.3 公共注册表安装重放 — 远程外部人员最终重放见证 远程外部人员最终重放见证将终结索引封印绑定到源自 `mk10-pro-v1.0.3-public-registry-install-replay-finality-index-seal` 的公共干净克隆重放。 ``` REMOTE_OUTSIDER_LIVE_REPLAY=1 bash scripts/public-registry-install-replay-remote-outsider-final-replay-witness.sh ``` ### MK10-PRO v1.0.3 公共注册表安装重放 — 终结闭合索引 终结闭合索引在远程外部人员最终重放见证封印之后绑定了 v1.0.3 公共注册表安装重放链。 `bash TERMINAL_CLOSURE_LIVE_REPLAY=1 bash scripts/public-registry-install-replay-terminal-closure-index.sh `

标签：Apache-2.0, Cilium, GitHub Packages, GNU通用公共许可证, MITM代理, Node.js, NPM, PyPI, Python, XML注入, 包完整性, 包管理器, 可信发布, 基础设施, 安全可观测性, 安全防篡改, 恶意代码分类, 无后门, 源可信度, 版本控制, 统一API, 软件发布, 软件生命周期管理, 运行时验证, 逆向工具, 防伪造