rodriguezaa22ar-boop/atlas-trust-infrastructure

# Atlas 信任基础设施 Atlas 是以元数据为先的完整性基础设施，用于操作证明。 它充当授权工作的信任覆盖层。它不替代 GitHub、Nix、SSH、tmux、扫描器、审批工具或业务系统。 它记录并验证围绕它们的证明链。 该链回答以下问题： - 谁请求了操作 - 应用了什么能力和策略 - 是否需要审批 - 发出了哪些证据和工件引用 - 包含结果的提交或数据包是什么 - 另一位审查者如何重放证明 ## 公开仓库目的 此公开仓库是面向审查者的 Atlas 信任界面：安全边界、治理合约、发布证据、业务流证据和就绪状态说明。 私有的 `atlas-lab-toolkit` 仓库保留为受保护的工程上下文和操作员运行时历史的实现场所。公有/私有边界在 [docs/REPOSITORY_BOUNDARY.md](docs/REPOSITORY_BOUNDARY.md) 中定义，并由 `exports/public-trust-manifest.json` 强制执行。 ## 为什么是证明链，而不仅仅是日志？ 日志记录某事发生了。Atlas 证明链将意图、能力、策略、审批元数据、证据引用、工件哈希、提交和审查者重放命令绑定到一个纯元数据记录中。 Atlas 验证证明元数据格式正确、已链接且可重放。它不授予权限、不替代审批权限、不证明合规性，也不保证操作的有效性。 ## 从这里开始 - 新读者：[docs/ATLAS_ONE_PAGE.md](docs/ATLAS_ONE_PAGE.md)；收据：[docs/TRY_RECEIPTS.md](docs/TRY_RECEIPTS.md) - 演示路径：[docs/demo/DEMO_OPERATION.md](docs/demo/DEMO_OPERATION.md) 和 [docs/demo/DEMO_REVIEWER_RUNBOOK.md](docs/demo/DEMO_REVIEWER_RUNBOOK.md) - 安全操作员：[docs/OPERATOR_GUIDE.md](docs/OPERATOR_GUIDE.md) - 发布审查者：[docs/RELEASE_TRUST.md](docs/RELEASE_TRUST.md) - SLSA 审查者：[docs/atlas/SLSA_CLAIM.md](docs/atlas/SLSA_CLAIM.md) - 业务负责人：[docs/atlas/BUSINESS_FLOW_EVIDENCE.md](docs/atlas/BUSINESS_FLOW_EVIDENCE.md) - 治理读者：[docs/governance/CAPABILITY_MODEL.md](docs/governance/CAPABILITY_MODEL.md) - 贡献者：[CONTRIBUTING.md](CONTRIBUTING.md) - 安全报告者：[SECURITY.md](SECURITY.md) 演示仅使用合成/本地安全数据。它展示了一个纯元数据操作、证据和发现链接、审批引用、保留的数据包，以及审查者验证，而不存储原始运行时证据。 ## 快速入门 从仓库根目录运行： ``` nix-shell ./bin/labctl status ./tools/atlas/bin/atlas doctor ./tools/atlas/bin/atlas v1 status --strict ./tools/atlas/bin/atlas production status --strict ``` 完整的本地 QA：`nix-shell --run './bin/dev-qa'` ## 安全边界 Atlas 仅用于授权的评估编排。 不要将其用于自主利用、持久化、破坏性测试、凭证喷洒、拒绝服务工作流、隐蔽/规避行为或超出范围的目标扩展。涉及目标的工作流应保留范围检查、能力分类、操作员意图、需要时的审批门控、账本事件和证据处理。 Atlas 不声明外部审计、企业认证、外部 SLSA 认证、部署认证、不可变存储、防篡改基础设施、运行时安全或合规性批准。 这不是外部 SLSA 认证。 ## 当前成熟度 当 v1 就绪状态干净、仓库已同步、发布包已验证、工件清单已验证、签名/来源已验证，并且为当前发布提交保留了生产干运行证据时，Atlas 可以报告 `在本地 Atlas 合约下生产就绪`。 Atlas 为 GitHub 构建的工件拥有一个可 SLSA 验证的发布工件候选路径：GitHub 托管的工件证明、官方 SLSA 通用来源、保留的 Atlas 元数据和验证器命令。 CodeQL 被用作跟踪的公共源代码的自动化代码扫描信号。它不替代手动审查、外部审计、运行时测试或 Atlas 自身的保留信任包验证。 ## 前 10 条命令 ``` ./bin/labctl status ./tools/atlas/bin/atlas doctor ./tools/atlas/bin/atlas v1 status --strict ./tools/atlas/bin/atlas production status --strict ./tools/atlas/bin/atlas target update --scope-status in-scope ./tools/atlas/bin/atlas op start --profile ./tools/atlas/bin/atlas web assess --scope-status in-scope ./tools/atlas/bin/atlas op trust-chain --strict ./tools/atlas/bin/atlas release packet --json --qa-status pass ./tools/atlas/bin/atlas release verify ``` ## 文档地图 | 从这里开始 | 目的 | | --- | --- | | [docs/INDEX.md](docs/INDEX.md) / [docs/REPOSITORY_BOUNDARY.md](docs/REPOSITORY_BOUNDARY.md) | 文档地图和公有/私有边界。 | | [docs/ATLAS_ONE_PAGE.md](docs/ATLAS_ONE_PAGE.md) | Atlas 单页说明。 | | [docs/OPERATOR_GUIDE.md](docs/OPERATOR_GUIDE.md) / [docs/ops/DUAL_NODE_COCKPIT.md](docs/ops/DUAL_NODE_COCKPIT.md) / [docs/ops/PORTABILITY_CONTRACT.md](docs/ops/PORTABILITY_CONTRACT.md) | 操作员工作流、双节点驾驶舱和可移植性合约。 | | [docs/demo/DEMO_OPERATION.md](docs/demo/DEMO_OPERATION.md) | 合成的纯元数据演示操作。 | | [docs/COMMAND_REFERENCE.md](docs/COMMAND_REFERENCE.md) | 完整的命令参考已移出 README。 | | [docs/TRUST_LIFECYCLE.md](docs/TRUST_LIFECYCLE.md) | 从范围到发布的信任链说明。 | | [docs/case-studies/CASE_STUDY_RELEASE_TRUST.md](docs/case-studies/CASE_STUDY_RELEASE_TRUST.md) / [docs/case-studies/CASE_STUDY_VENDOR_PAYMENT_CHANGE.md](docs/case-studies/CASE_STUDY_VENDOR_PAYMENT_CHANGE.md) | 发布信任和业务流案例研究。 | | [docs/atlas/TRUST_INFRASTRUCTURE_DIRECTION.md](docs/atlas/TRUST_INFRASTRUCTURE_DIRECTION.md) / [docs/atlas/TRUST_OBJECT_MODEL.md](docs/atlas/TRUST_OBJECT_MODEL.md) | Atlas 方向、对象、数据包、新鲜度、验证和重放。 | | [docs/governance/CAPABILITY_MODEL.md](docs/governance/CAPABILITY_MODEL.md) / [docs/governance/ADAPTER_REGISTRY.md](docs/governance/ADAPTER_REGISTRY.md) / [docs/governance/POLICY_PLANE.md](docs/governance/POLICY_PLANE.md) / [docs/governance/APPROVAL_PLANE.md](docs/governance/APPROVAL_PLANE.md) | 能力、适配器、策略和审批。 | | [docs/RELEASE_TRUST.md](docs/RELEASE_TRUST.md) / [docs/atlas/RELEASE_ARTIFACT_MANIFEST.md](docs/atlas/RELEASE_ARTIFACT_MANIFEST.md) | 发布包、工件清单、验证、重放、签名和来源。 | | [docs/atlas/SLSA_PROVENANCE.md](docs/atlas/SLSA_PROVENANCE.md) / [docs/atlas/SLSA_CLAIM.md](docs/atlas/SLSA_CLAIM.md) | GitHub/Sigstore SLSA 来源工作流和有界声明。 | | [docs/atlas/V1_INTERNAL_RC.md](docs/atlas/V1_INTERNAL_RC.md) / [docs/atlas/V1_PILLAR_READINESS.md](docs/atlas/V1_PILLAR_READINESS.md) / [docs/atlas/PRODUCTION_READINESS.md](docs/atlas/PRODUCTION_READINESS.md) | Atlas v1 内部发布候选版范围、支柱就绪状态和本地生产就绪合约。 | | [docs/WEB_ASSESSMENT.md](docs/WEB_ASSESSMENT.md) / [docs/atlas/BUSINESS_FLOW_EVIDENCE.md](docs/atlas/BUSINESS_FLOW_EVIDENCE.md) | Web 评估和可选的纯元数据业务流证据。 | | [docs/TRUST_MODEL.md](docs/TRUST_MODEL.md) / [docs/SECURITY_MODEL.md](docs/SECURITY_MODEL.md) / [docs/RESPONSIBLE_USE.md](docs/RESPONSIBLE_USE.md) / [docs/KNOWN_LIMITATIONS.md](docs/KNOWN_LIMITATIONS.md) | 信任、安全、负责任使用和限制边界。 | | [docs/CI.md](docs/CI.md) / [SECURITY.md](SECURITY.md) / [CONTRIBUTING.md](CONTRIBUTING.md) | CI 对等、漏洞报告和贡献规则。 | ## 开发 开发 shell 提供了预期的本地工具链，包括 `bats`、`git`、`gpg`、`jq`、`rg`、`shellcheck` 和 `shfmt`。 常见的开发门控： ``` ./bin/dev-fmt ./bin/dev-lint ./bin/dev-test ./bin/dev-stress ./bin/dev-qa ``` 在将更改视为完成之前，请运行最相关的强力门控，并保持仓库清洁和同步。

标签：Homebrew安装, SLSA合规, 业务流程审计, 业务流程证明, 信任控制平面, 信任管理, 元数据优先, 元数据记录, 发布信任, 发布验证, 合规性支持, 回放机制, 安全基础设施, 安全工作流, 安全覆盖层, 完整性基础设施, 审批工作流, 审查验证, 工作流自动化, 工作流证明, 操作证明, 智能代码审计, 网络安全研究, 证据保留, 证据链, 证明链, 软件供应链安全, 远程方法调用