Otevřený zdroj —Aperture

Open Source

Nedůvěřuj.
Ověřte.

Každý řádekAperture je veřejný. Přečtěte si ji, vytvořte ji a potvrďte, že aplikace ve vašem telefonu je přesně tou aplikací, kterou jsme zveřejnili.

Zobrazit naGitHub Podívejte se na to v akci →

Bezpečnost díky transparentnosti

Peněženka vás žádá, abyste jí svěřili vše, co vlastníte. Věříme, že důvěra se musí získávat otevřeně, ne prosazovat marketingovou stránkou. Každá částAperture, která se dotkne vašich klíčů nebo vašich finančních prostředků, je zveřejněna pro kohokoli – nezávislé výzkumníky, auditory nebo vy – ke čtení, běhu a výzvám. Zabezpečení temnotou nechrání nikoho; zabezpečení, které můžete zkontrolovat, chrání každého.

Co je veřejné

Ne otrhané „jádro“ – celá aplikace. Veřejné úložiště obsahuje:

  • kompletní klient iOS a iPadOS a celé jeho uživatelské rozhraní;
  • generování klíčů, odvození semene (BIP-39 / BIP-32) a integraceSecure Enclave;
  • konstrukce transakcí, odhad poplatků a podepisování pro každou podporovanou síť;
  • síťová vrstva – přesně které servery aplikace kontaktuje a proč;
  • sestavovací skripty a kanál vydání, které vytvářejí binární souborApp Store.

Mezi vámi a blockchainem nejsou žádné uzavřené sady SDK, žádné skryté binární soubory ani žádná proprietární služba.

Co si můžete sami ověřit

Vzhledem k tomu, že zdroj je úplný, můžete potvrdit tvrzení zbytku tohoto webu – spíše než naše slovo. Můžete vysledovat, že soukromé klíče jsou vytvořeny pomocí dobře zkontrolovaných kryptografických knihoven a zapečetěny vSecure Enclave; že nejsou nikdy serializovány, protokolovány nebo odesílány přes síť; že aplikace neobsahuje žádné analytické, telemetrické nebo reklamní kódy; a přesně to, které koncové body třetích stran jsou kontaktovány za účelem čtení zůstatků a vysílaných transakcí.

Reprodukovatelné sestavení

Open source je důležitý pouze v případě, že aplikace v telefonu je aplikací v úložišti. VydáníAperture jsou deterministická: sestavení označeného zdroje vytvoří binární soubor, který odpovídá tomu, co dodáváme, takže můžete porovnat hash vašeho vlastního sestavení s publikovaným vydáním. „Open source“ není příslibem nějakého jiného kódu – je to kód běžící na vašem zařízení.

Postavte si to sami

Klonujte úložiště a sestavujte pomocí jediného příkazu. The ověřit target znovu sestaví vydání a porovná je s publikovaným binárním souborem. Úplné pokyny najdete v souboru README.

$ git klon https://github.com/devdasx/aperture.git
$ cdaperture
$ nechat ověřit

A public, append-only history

Nic se neupravuje potichu. Každá změna je veřejným potvrzením, každé vydání je podepsaná a datovaná značka a úplnou historii může každý zkontrolovat. Pokud se změní linka, která zpracovává vaše klíče, můžete vidět, kdo ji změnil, kdy a proč.

Minimální závislosti

Každá závislost je kód, kterému musíte důvěřovat, takže seznam udržujeme krátký.Aperture se opírá o malou sadu dobře zavedených, připnutých knihoven – každou lze zkontrolovat v manifestu sestavení – a dodává se bez reklamních, analytických nebo atribučních sad SDK jakéhokoli druhu.

licence

Aperture je vydán pod licencí GPL-3.0. Můžete jej volně používat, studovat, sdílet a upravovat – a jakýkoli distribuovaný derivát musí zůstat otevřený za stejných podmínek, takže se peněženka nikdy nemůže tiše stát uzavřenou schránkou. Text licence žije v úložišti a řídí vaše práva v kódu.

Nezávislé audity

Aperture je posuzován externími bezpečnostními výzkumníky a nálezy jsou řešeny veřejně. Viz Bezpečnost pro celý model.

Přispívání

Problémy a žádosti o stažení jsou vítány. Přečtěte si kód, odešlete zprávu nebo otevřete diskusi na GitHub.

Bug bounty

Odpovědné zveřejnění je odměněno. Našli jste zranitelnost? Email security@aperturex.io.

Přečtěte si celý zdroj na github.com/devdasx/aperture.