d8880439fc
Some checks failed
Build and Deploy Dao OS Docs / build-and-deploy (push) Failing after 2m4s
56 lines
3.5 KiB
Markdown
56 lines
3.5 KiB
Markdown
# 信任与验证体系
|
||
|
||
在一个任何人都可以创建和分发“化身”的去中心化生态系统中,一个关键问题油然而生:用户如何能信任第三方的`化身`是安全的、合规的、高质量的?
|
||
|
||
传统的解决方案是中心化的“应用商店”模式,由一个单一的公司扮演“守门人”的角色。这个模式与“大道”的核心哲学背道而驰。
|
||
|
||
我们的解决方案是,一个去中心化的**“社区信誉与自动化验证”体系**。
|
||
|
||
## 我们的哲学:从“守门人”到“工具匠”
|
||
|
||
大道 (Dao OS) 的核心团队,不扮演一个审批或拒绝`化身`的中央权威。我们的角色不是成为“守门人”,而是成为**“工具匠”**。我们负责构建并提供工具和协议,让社区能够有机地建立和验证信任。
|
||
|
||
这个体系建立在三大支柱之上。
|
||
|
||
---
|
||
|
||
### 第一支柱:自动化验证套件 (`dao-verify`)
|
||
|
||
第一支柱是一个开源的、自动化的工具,它如同一个“试金石”,可用于任何`化身`。开发者可以在自己的项目上运行这个工具,以生成一份公开的、可验证的“健康证明”。
|
||
|
||
`dao-verify` 执行三个关键功能:
|
||
|
||
1. **安全扫描**: 通过插件化架构,它集成了适用于各种语言的最佳静态分析工具(例如,用于Rust的`cargo audit`,用于JS的`npm audit`),以扫描常见的安全漏洞。
|
||
2. **API合规测试**: 它运行一套黑盒测试,以确保`化身`正确且完整地实现了“核心体验SDK”所要求的功能。它验证的是行为,而不仅仅是接口的存在。
|
||
3. **性能基准测试**: 它对照一个推荐的基准,来衡量关键的性能指标,如启动时间和内存使用。
|
||
|
||
其输出是一份可被密码学签名的、JSON格式的**“验证报告”**,可由开发者公开发布。
|
||
|
||
---
|
||
|
||
### 第二支柱:社区信誉系统
|
||
|
||
自动化可以验证技术合规性,但无法衡量质量、可用性或开发者的声誉。这正是社区发挥作用的地方。
|
||
|
||
其核心机制是**基于DID的“背书” (Vouching)**:
|
||
|
||
* 每个开发者和社区成员都拥有自己的“大道DID”。
|
||
* 一位受人尊敬的开发者或实体(例如“开发者A”),可以用他/她的DID私钥,对“开发者B”创建的`化身`进行一次密码学“签名背书”。
|
||
* 这个背书是一个公开的、可验证的证明。因此,一个`化身`的信誉,就来自于为其背书的DID的数量及其本身的声誉。
|
||
|
||
未来,这可能会通过**“质押背书” (Stake-to-Vouch)**系统得到增强,即背书人需要质押少量价值,从而为诚实和尽职的审查创造直接的经济激励。
|
||
|
||
---
|
||
|
||
### 第三支柱:面向用户的“信任仪表盘”
|
||
|
||
所有这些信息,最终都会在`化身`发现或“商店”页面,通过一个简洁、透明的界面,聚合呈现给最终用户。
|
||
|
||
每个`化身`展示的,将不再是一个简单的“已认证”勾选标记,而是一个**“信任仪表盘”**卡片,上面显示:
|
||
|
||
* **机器验证**: ✅ 安全扫描通过 | ✅ API合规 | ✅ 性能达标
|
||
* **社区信任**: “已获得以下成员的背书:[知名开发者A], [受信任的社区B] 及其他 15 人。”
|
||
* **用户评价**: 传统的星级评分和用户提交的评论。
|
||
|
||
这个三支柱体系,在赋能开发者证明其工作质量与安全的同时,也赋能用户基于丰富的自动化及社会化信任信号,来做出知情的决策,全程无需一个中央瓶颈。
|