주장된 것인가, 증명된 것인가? 코드 세계 전반의 커밋 서명 데이터셋과 신원 신뢰 계층
요약
본 논문은 코드 세계 전반(WoC)의 커밋 서명 데이터셋과 신원 신뢰 계층을 제시합니다. 암호학적 서명을 통해 git 커밋 작성자의 신원을 '주장'이 아닌 '증명'하는 것이 중요함을 강조하며, 방대한 규모의 서명된 커밋 데이터를 공개합니다.
핵심 포인트
- WoC 전반 최초의 커밋 서명 축(commit-signature axis)을 공개함.
- 서명은 작성자를 통제 키에 바인딩하여 신원을 증명함.
- 개체별 증명 계층 A2trust와 암호학적 기반 별칭 골드(alias gold)를 구축함.
- 과학-소프트웨어 신원 연결에 증명 출처(attestation provenance)를 첨부함.
git 커밋에 있는 작성자 문자열(author string)은 커미터가 직접 입력한 자유 텍스트이므로, 글로벌 커밋 코퍼스 상에서의 신원 해결은 커밋 내 어떤 것도 검증하지 못하는 '주장'에 의존합니다. 암호학적으로 서명된 커밋은 다릅니다. 이는 커밋을 커미터가 통제하는 키에 바인딩하며, 그 키가 실제 세계의 신원과 연결될 때 git 신원은 단순히 주장되는 것이 아니라 '증명(attested)'됩니다. 우리는 코드 세계 전반(World of Code, WoC)을 위한 최초의 커밋 서명 축(commit-signature axis)을 V2604 컬렉션에 대해 추출하여 공개합니다. 이 서명은 커밋 객체의 gpgsig 헤더에 포함되어 있으며, 이미 WoC 커밋 테이블의 commit-message 필드에 파싱되지 않은 상태로 담겨 있으므로, 이 축은 객체 데이터베이스를 재읽는 것이 아니라 기존 테이블을 스캔하는 방식입니다. 5,866,595,698개의 커밋으로 구성된 V2604 코퍼스에서, 17.59%가 서명을 포함하고 있으며(PGP가 98.96%로 지배적이며, SSH 및 X.509/sigstore 서명이 증가하는 소수 그룹을 형성), 이는 총 1,031,721,316개의 서명된 커밋에 해당합니다. 우리는 커밋별 서명 지도 c2sigFull을 공개하는데, 이는 공유 조직 및 지속적 통합(continuous-integration) 키가 개인 키와 분리되도록 제한된 키-작성자 그래프입니다. 또한, 기존 A2cls 신원 클래스 데이터셋을 확장하는, 개체별 증명 계층인 A2trust(서명되지 않음, 서명됨, 실제 세계 바인딩, 코퍼스 간 증명)를 공개합니다. 이 서명 축은 커버리지 레이어가 아니라 정밀도 앵커입니다: 서명된 커밋은 최근의 트렌드와 보안을 중시하는 개발자들에게 치우치는 경향이 있으며, 이는 참고문헌 결합(bibliography join)이 목표로 하는 학술 저자들과 겹치는 인구 집단입니다. 우리는 개인 키를 사용하여 휴리스틱 WoC 별칭 지도(alias map)를 수동으로 라벨링된 쌍과 독립적으로 보정하는 암호학적 기반의 별칭 골드(alias gold)를 구축하고, 과학-소프트웨어 신원 연결에 증명 출처(attestation provenance)를 첨부합니다. 모든 아티팩트는 WoC V2604 컬렉션에 키가 지정된, 자체 포함형 독립 호스팅 복제 패키지로 공개됩니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 arXiv Codex (cs.SE)의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기