版本
官方發布是與稽核員就緒 PDF 和機器可讀人工產物一起發布的凍結快照。
最新發布
!!! success "當前版本" v0.0.2 (2026-02-02) — 檢視文件 | GitHub Release
版本歷史
| 版本 | 日期 | 發布說明 | PDF (EN) | PDF (JA) | 人工產物 | 校驗和 |
|---|---|---|---|---|---|---|
| v0.0.2 | 2026-02-02 | 變更日誌 | trust_package.pdf | trust_package.ja.pdf | ZIP | SHA256 |
| v0.0.1 | 2026-02-02 | 變更日誌 | trust_package.pdf | trust_package.ja.pdf | ZIP | SHA256 |
!!! note "資料來源"
此版本表與 GitHub Releases 同步。每個發布標籤(vX.Y.Z)對應一個凍結的規格快照。
驗證程序
稽核員和實作者應使用 SHA-256 校驗和驗證下載完整性:
1. 下載發布資產
=== "Linux / macOS"
```bash
# 下載特定版本的所有資產
VERSION=v0.0.1
BASE_URL="https://github.com/billyrise/aimo-standard/releases/download/${VERSION}"
curl -LO "${BASE_URL}/trust_package.pdf"
curl -LO "${BASE_URL}/trust_package.ja.pdf"
curl -LO "${BASE_URL}/aimo-standard-artifacts.zip"
curl -LO "${BASE_URL}/SHA256SUMS.txt"
```
=== "Windows (PowerShell)"
```powershell
# 下載特定版本的所有資產
$VERSION = "v0.0.1"
$BASE_URL = "https://github.com/billyrise/aimo-standard/releases/download/$VERSION"
Invoke-WebRequest -Uri "$BASE_URL/trust_package.pdf" -OutFile trust_package.pdf
Invoke-WebRequest -Uri "$BASE_URL/trust_package.ja.pdf" -OutFile trust_package.ja.pdf
Invoke-WebRequest -Uri "$BASE_URL/aimo-standard-artifacts.zip" -OutFile aimo-standard-artifacts.zip
Invoke-WebRequest -Uri "$BASE_URL/SHA256SUMS.txt" -OutFile SHA256SUMS.txt
```
2. 驗證校驗和
=== "Linux"
```bash
# 驗證所有下載的檔案是否符合校驗和
sha256sum -c SHA256SUMS.txt
# 預期輸出(所有都應顯示「OK」):
# trust_package.pdf: OK
# trust_package.ja.pdf: OK
# aimo-standard-artifacts.zip: OK
```
=== "macOS"
```bash
# 驗證所有下載的檔案是否符合校驗和
shasum -a 256 -c SHA256SUMS.txt
# 預期輸出(所有都應顯示「OK」):
# trust_package.pdf: OK
# trust_package.ja.pdf: OK
# aimo-standard-artifacts.zip: OK
```
=== "Windows (PowerShell)"
```powershell
# 驗證每個檔案
Get-FileHash .\trust_package.pdf -Algorithm SHA256
Get-FileHash .\trust_package.ja.pdf -Algorithm SHA256
Get-FileHash .\aimo-standard-artifacts.zip -Algorithm SHA256
# 將 Hash 輸出與 SHA256SUMS.txt 比較
Get-Content .\SHA256SUMS.txt
```
3. 手動驗證(替代方案)
=== "Linux"
```bash
# 計算特定檔案的雜湊
sha256sum trust_package.pdf
# 與 SHA256SUMS.txt 比較輸出
cat SHA256SUMS.txt
```
=== "macOS"
```bash
# 計算特定檔案的雜湊
shasum -a 256 trust_package.pdf
# 與 SHA256SUMS.txt 比較輸出
cat SHA256SUMS.txt
```
=== "Windows (PowerShell)"
```powershell
# 計算特定檔案的雜湊
Get-FileHash .\trust_package.pdf -Algorithm SHA256
# 檢視校驗和檔案
Get-Content .\SHA256SUMS.txt
```
!!! tip "給稽核員" 始終直接從官方 GitHub Release 取得校驗和檔案,而非從提交方取得。這確保獨立驗證。
4. 驗證建置來源(證明)
所有發布資產包含由 GitHub Actions 產生的密碼學簽名建置來源證明。這讓您可以驗證資產是在官方儲存庫中建置的,沒有被竄改。
先決條件:安裝 GitHub CLI(gh)
# 使用 GitHub CLI 下載發布資產
VERSION=v0.0.1
gh release download "$VERSION" --repo billyrise/aimo-standard
# 驗證每個資產的證明
gh attestation verify trust_package.pdf --repo billyrise/aimo-standard
gh attestation verify trust_package.ja.pdf --repo billyrise/aimo-standard
gh attestation verify aimo-standard-artifacts.zip --repo billyrise/aimo-standard
gh attestation verify SHA256SUMS.txt --repo billyrise/aimo-standard
預期輸出(成功):
Loaded digest sha256:abc123... for file trust_package.pdf
Loaded 1 attestation from GitHub API
✓ Verification succeeded!
離線驗證(隔離環境):
# 首先,下載受信任的根(需要一次網路存取)
gh attestation trusted-root > trusted-root.jsonl
# 然後離線驗證
gh attestation verify trust_package.pdf \
--repo billyrise/aimo-standard \
--custom-trusted-root trusted-root.jsonl
!!! info "證明證明什麼" 建置來源證明密碼學證明發布資產:
1. 由 GitHub Actions 建置(非開發者的本機電腦)
2. 從官方 `billyrise/aimo-standard` 儲存庫建置
3. 從與發布標籤關聯的確切 commit 建置
4. 在建置完成後未被修改
相容性
AIMO 標準遵循語意化版本控制(SemVer):
| 變更類型 | 版本提升 | 影響 |
|---|---|---|
| MAJOR | X.0.0 | 破壞性變更 — 需要遷移 |
| MINOR | 0.X.0 | 向後相容的新增 |
| PATCH | 0.0.X | 修復和澄清 |
如需完整的版本政策,請參閱 VERSIONING.md。
遷移
在具有破壞性變更的版本之間升級時:
!!! warning "破壞性變更" MAJOR 版本更新可能需要變更現有的證據包。升級前務必查閱遷移指南。
版本化文件快照
每個發布建立一個凍結的文件快照,可在以下位置存取:
- 生產環境:
https://standard.aimoaas.com/{version}/(例如/0.0.1/) - GitHub Pages:
https://billyrise.github.io/aimo-standard/{version}/
URL 類型及其含義
| URL 模式 | 說明 | 用於稽核引用? |
|---|---|---|
/X.Y.Z/(例如 /0.0.1/) |
凍結發布 — 不可變快照 | 是(首選) |
/latest/ |
別名 — 重新導向到最新發布 | 是(解析到 /X.Y.Z/) |
/dev/ |
預覽 — 未發布的主分支內容 | 否(不用於引用) |
!!! warning "理解 /latest/ 與 /dev/"
- /latest/ 是指向最新已發布版本的別名(重新導向)。它可以安全地用於引用,因為它解析到凍結的快照。
- /dev/ 反映當前的 main 分支,可能包含未發布的變更。絕不要在稽核報告中引用 /dev/。
常見問題
??? question "為什麼 /latest/ 不是版本號?"
/latest/ 是一個便利別名,始終重新導向到最新的穩定發布(例如 /0.0.1/)。這讓使用者可以收藏單一 URL,同時自動取得當前版本。對於需要不可變性的正式稽核,請改用明確的版本 URL。
??? question "稽核員應引用哪個 URL?"
- 正式稽核(需要不可變性):使用 /X.Y.Z/(例如 https://standard.aimoaas.com/0.0.1/standard/current/)
- 一般參照:/latest/ 可接受,因為它重新導向到當前發布
- 絕不引用:/dev/(未發布,可能變更)
??? question "如果 /latest/ 顯示與預期不同的內容怎麼辦?"
這可能是部署錯誤。如果您懷疑 /latest/ 與最新的 GitHub Release 不同,請報告問題。/latest/ 別名應始終重新導向到最新的標記發布。
資源
- 發布中心 — 提交準備、稽核員驗證、不過度聲明聲明
- 信任套件 — 稽核員就緒保證材料
- 變更日誌(詳細) — 包含棄用追蹤的完整變更歷史
- VERSIONING.md — 完整版本政策