Oopbron
Moenie vertrou nie.
Verifieer.
Elke reël vanAperture is publiek. Lees dit, bou dit en bevestig die toepassing op jou foon is presies die toepassing wat ons gepubliseer het.
Sekuriteit deur deursigtigheid
’n Beursie vra jou om dit te vertrou met alles wat jy besit. Ons glo dat vertroue in die openbaar verdien moet word, nie in 'n bemarkingsbladsy bevestig moet word nie. Elke deel vanAperture wat aan jou sleutels of jou fondse raak, word gepubliseer vir enigiemand - onafhanklike navorsers, ouditeure of jy - om te lees, te hardloop en uit te daag. Sekuriteit deur duisternis beskerm niemand nie; sekuriteit wat jy kan inspekteer beskerm almal.
Wat is publiek
Nie 'n gestroopte "kern" nie - die hele toepassing. Die publieke bewaarplek bevat:
- die volledige iOS- en iPadOS-kliënt en sy hele gebruikerskoppelvlak;
- sleutelgenerering, saadafleiding (BIP-39 / BIP-32), en dieSecure Enclave-integrasie;
- transaksiekonstruksie, fooiberaming en ondertekening vir elke ondersteunde netwerk;
- die netwerklaag - presies watter bedieners die toepassing kontak, en hoekom;
- die bou skrifte en vrystelling pyplyn wat dieApp Store binêre produseer.
Daar is geen geslotebron-SDK's, geen verborge binaries en geen eie diens wat tussen jou en die blokketting sit nie.
Wat jy self kan verifieer
Omdat die bron volledig is, kan jy die aansprake wat die res van hierdie webwerf maak bevestig - eerder as om ons woord te aanvaar. Jy kan opspoor dat private sleutels geskep word met goed hersiene kriptografiese biblioteke en verseël in dieSecure Enclave; dat hulle nooit geserialiseer, aangeteken of oor die netwerk gestuur word nie; dat die toepassing geen ontledings-, telemetrie- of advertensiekode bevat nie; en presies watter derdeparty-eindpunte gekontak word om saldo's te lees en transaksies uit te saai.
Reproduceerbare bouwerk
Oopbron maak net saak as die toepassing op jou foon die toepassing in die bewaarplek is.Aperture se vrystellings is deterministies: die bou van die gemerkte bron produseer 'n binêre wat ooreenstem met wat ons stuur, sodat jy die hash van jou eie bou met die gepubliseerde vrystelling kan vergelyk. "Oopbron" is nie 'n belofte oor 'n ander kode nie - dit is die kode wat op jou toestel loop.
Bou dit self
Kloon die bewaarplek en bou met 'n enkele opdrag. Die verifieer teiken herbou 'n vrystelling en verskil dit teen die gepubliseerde binêre. Volledige instruksies woon in die README.
'n Openbare geskiedenis wat slegs byvoeg
Niks word stil-stil geredigeer nie. Elke verandering is 'n publieke verbintenis, elke vrystelling is 'n getekende en gedateerde etiket, en die volle geskiedenis is daar vir enigiemand om te oudit. As 'n lyn wat jou sleutels hanteer verander, kan jy sien wie dit verander het, wanneer en hoekom.
Minimale afhanklikhede
Elke afhanklikheid is kode wat jy moet vertrou, so ons hou die lys kort.Aperture steun op 'n klein stel goed-gevestigde, vasgespelde biblioteke - elkeen hersienbaar in die boumanifes - en word gestuur met geen advertensie-, ontledings- of toeskrywing-SDK's van enige aard nie.
Die lisensie
Aperture word vrygestel onder die GPL-3.0-lisensie. Jy is vry om dit te gebruik, te bestudeer, te deel en te verander - en enige verspreide afgeleide moet onder dieselfde voorwaardes oop bly, sodat die beursie nooit stilweg 'n geslote boks kan word nie. Die lisensieteks woon in die bewaarplek en beheer jou regte in die kode.
Onafhanklike oudits
Aperture word deur eksterne sekuriteitsnavorsers hersien, en bevindinge word in die openbaar aangespreek. Sien Sekuriteit vir die volledige model.
Bydraend
Kwessies en trekversoeke is welkom. Lees die kode, dien 'n verslag in of maak 'n bespreking oor GitHub.
Bug oorvloed
Verantwoordelike openbaarmaking word beloon. Het jy 'n kwesbaarheid gevind? E-pos security@aperturex.io.
Lees die volledige bron by github.com/devdasx/aperture.