Avoin lähdekoodi
Älä luota.
Vahvista.
JokainenAperture-rivi on julkinen. Lue se, luo se ja varmista, että puhelimessasi oleva sovellus on juuri se sovellus, jonka julkaisimme.
Turvallisuus läpinäkyvyyden kautta
Lompakko pyytää sinua luottamaan siihen kaiken, mitä omistat. Uskomme, että luottamus on ansaittava avoimesti, ei markkinointisivulla. JokainenAperture:n osa, joka koskettaa avaimiasi tai varojasi, julkaistaan kenen tahansa – riippumattomien tutkijoiden, tilintarkastajien tai sinun – luettavaksi, suoritettavaksi ja haastateltavaksi. Epäselvyyden aiheuttama turvallisuus ei suojaa ketään; turvallisuus, jonka voit tarkastaa, suojaa kaikkia.
Mikä on julkista
Ei riisuttu "ydin" - koko sovellus. Julkinen arkisto sisältää:
- koko iOS- ja iPadOS-asiakasohjelma ja sen koko käyttöliittymä;
- avainten luominen, siementen johtaminen (BIP-39 / BIP-32) jaSecure Enclave-integrointi;
- tapahtuman rakentaminen, maksujen arviointi ja allekirjoitus jokaiselle tuetulle verkolle;
- verkkokerros – tarkalleen mihin palvelimiin sovellus ottaa yhteyttä ja miksi;
- rakennuskomentosarjat ja julkaisuputki, jotka tuottavatApp Store-binaarin.
Sinun ja lohkoketjun välissä ei ole suljetun lähdekoodin SDK:ita, piilotettuja binaaritiedostoja tai omaa palvelua.
Mitä voit itse varmistaa
Koska lähde on täydellinen, voit vahvistaa tämän sivuston muun väitteen - sen sijaan, että uskoisit sanamme. Voit jäljittää, että yksityiset avaimet luodaan hyvin tarkistetuilla kryptografisilla kirjastoilla ja sinetöidäänSecure Enclave; ettei niitä koskaan sarjoiteta, kirjata lokiin tai lähetetä verkon kautta; että sovellus ei sisällä analytiikkaa, telemetriaa tai mainoskoodia; ja tarkalleen mihin kolmannen osapuolen päätepisteisiin otetaan yhteyttä saldojen lukemista ja lähetystapahtumia varten.
Toistettavat rakennelmat
Avoimella lähdekoodilla on merkitystä vain, jos puhelimesi sovellus on arkiston sovellus.Aperture:n julkaisut ovat deterministisiä: merkityn lähteen rakentaminen tuottaa binaarin, joka vastaa lähettämäämme tuotetta, joten voit verrata oman koontiversiosi hajautusarvoa julkaistuun julkaisuun. "Avoin lähdekoodi" ei ole lupaus jostain muusta koodista - se on laitteellasi käynnissä oleva koodi.
Rakenna se itse
Kloonaa arkisto ja rakenna yhdellä komennolla. The vahvistaa target rakentaa julkaisun uudelleen ja erottaa sen julkaistusta binaarista. Täydelliset ohjeet löytyvät README:stä.
Julkinen, vain liitettävä historia
Mitään ei editoida hiljaa. Jokainen muutos on julkinen sitoumus, jokainen julkaisu on allekirjoitettu ja päivätty tunniste, ja koko historia on kaikkien tarkastettavissa. Jos avaimia käsittelevä rivi muuttuu, näet, kuka muutti sen, milloin ja miksi.
Minimaalinen riippuvuus
Jokainen riippuvuus on koodi, johon sinun täytyy luottaa, joten pidämme luettelon lyhyenä.Aperture nojaa pieneen joukkoon vakiintuneita, kiinnitettyjä kirjastoja – joista jokainen on tarkistettavissa koontiluettelossa – ja toimitetaan ilman minkäänlaisia mainoksia, analytiikkaa tai attribuutio-SDK:ita.
Lisenssi
Aperture on julkaistu GPL-3.0-lisenssillä. Voit vapaasti käyttää, tutkia, jakaa ja muokata sitä – ja kaikkien hajautettujen johdannaisten on pysyttävä auki samoin ehdoin, jotta lompakosta ei voi koskaan tulla hiljaa suljettu laatikko. Lisenssiteksti on arkistossa ja säätelee oikeuksiasi koodissa.
Riippumattomat auditoinnit
Ulkopuoliset tietoturvatutkijat arvioivatAperture:n, ja havainnot käsitellään avoimesti. Katso Turvallisuus koko mallille.
Osallistuminen
Ongelmat ja vetopyynnöt ovat tervetulleita. Lue koodi, tee raportti tai avaa keskustelu aiheesta GitHub.
Bug bounty
Vastuullinen paljastaminen palkitaan. Löysitkö haavoittuvuuden? Sähköposti security@aperturex.io.
Lue koko lähde osoitteessa github.com/devdasx/aperture.