Demuestre que Heroku y Github ejecutan el mismo código

Para un proyecto de código abierto en el que estoy trabajando actualmente, necesito personas que confíen en un website. Básicamente, el usuario escribiría "foo" en su teléfono. Iría al website que tomaría el post "foo" y lo enviaría a un server que se ejecuta en la PC de este usuario. Quiero que la gente esté segura de que el server no cambió "foo" en "barra". Sé que no soy malicioso, pero los usuarios potenciales no lo sé, así que los necesito para que confíen en mí.

Hay 2 posibilidades El primero es usar cryptography. El usuario cifraría en su teléfono "abc" y el server que se ejecuta en la PC del usuario lo descifraría. Pero es engorroso para el usuario (tendría que encriptarlo en otra aplicación). La segunda posibilidad sería convencer al usuario de que no soy malicioso mostrándole el código que se ejecuta en el server. Puedo mostrar el código en Github fácilmente. La pregunta es ¿cómo podemos asegurarnos de que el código que se ejecuta en Github sea el mismo que el código que se ejecuta en Heroku?

Depende de su implementación, para lograr esto es necesario realizar un process de deployment que atraiga todo el repository y genere la producción o el entorno. Esto es muy similar con la configuration de NPM donde tendrá el file de input y el script de compilation.