Nyílt forráskód
Ne bízz.
Ellenőrizze.
AAperture minden sora nyilvános. Olvassa el, készítse el, és győződjön meg arról, hogy a telefonon lévő alkalmazás pontosan az általunk közzétett alkalmazás.
Biztonság az átláthatóságon keresztül
A pénztárca arra kéri, hogy bízzon rá mindent, amivel rendelkezik. Hiszünk abban, hogy a bizalmat nyíltan kell kiérdemelni, nem pedig marketingoldalon érvényesíteni. AAperture minden olyan részét, amely hozzáér az Ön kulcsaihoz vagy pénzeszközeihez, bárki – független kutatók, auditorok vagy Ön – számára közzétesszük, hogy elolvassa, futtassa és megtámadja. A homály által biztosított biztonság senkit sem véd meg; az ellenőrizhető biztonság mindenkit megvéd.
Mi nyilvános
Nem egy lecsupaszított „mag” – az egész alkalmazás. A nyilvános adattár a következőket tartalmazza:
- a teljes iOS és iPadOS kliens és annak teljes felhasználói felülete;
- kulcsgenerálás, vetőmag származtatás (BIP-39 / BIP-32) és aSecure Enclave integráció;
- tranzakció konstrukció, díjbecslés és aláírás minden támogatott hálózatra;
- a hálózati réteg – pontosan mely szerverekkel lép kapcsolatba az alkalmazás, és miért;
- aApp Store binárist létrehozó build szkriptek és kiadási folyamat.
Nincsenek zárt forráskódú SDK-k, nincsenek rejtett bináris fájlok, és nincs saját szolgáltatás közted és a blokklánc között.
Amit magad ellenőrizhetsz
Mivel a forrás teljes, megerősítheti a webhely többi részének állításait – ahelyett, hogy szavunkat fogadná. Nyomon követheti, hogy a magánkulcsokat jól áttekintett kriptográfiai könyvtárakkal hozzák létre, és aSecure Enclave-ben lezárják; soha nem szerializálják, naplózzák vagy elküldik a hálózaton keresztül; hogy az alkalmazás nem tartalmaz elemzési, telemetriai vagy hirdetési kódot; és hogy pontosan mely harmadik fél végpontokkal kell kapcsolatba lépni az egyenlegek beolvasása és a szórási tranzakciók céljából.
Reprodukálható építmények
A nyílt forráskód csak akkor számít, ha a telefonon lévő alkalmazás az adattárban lévő alkalmazás. AAperture kiadásai determinisztikusak: a címkézett forrás felépítése egy olyan binárist hoz létre, amely megfelel az általunk szállítottnak, így összehasonlíthatja a saját build hash-ét a közzétett kiadással. A „nyílt forráskód” nem egy másik kóddal kapcsolatos ígéret – ez az eszközön futó kód.
Építsd meg magad
Klónozza a tárat és építse fel egyetlen paranccsal. A ellenőrizni A target újraépíti a kiadást, és eltéríti a közzétett binárishoz képest. A teljes utasítás a README-ban található.
Nyilvános, csak hozzáfűzhető előzmények
Semmit sem szerkesztenek csendben. Minden változtatás nyilvános kötelezettségvállalás, minden kiadás egy aláírt és dátumozott címke, és a teljes előzményeket bárki ellenőrizheti. Ha a kulcsokat kezelő sor megváltozik, láthatja, hogy ki, mikor és miért változtatta meg.
Minimális függőségek
Minden függőség olyan kód, amelyben megbíznia kell, ezért a listát röviden tartjuk. AAperture jól bevált, rögzített könyvtárak kis készletére támaszkodik – mindegyik áttekinthető az összeállítási jegyzékben –, és mindenféle hirdetési, elemzési vagy hozzárendelési SDK-k nélkül szállítjuk.
Az engedély
AAperture a GPL-3.0 licenc alatt jelenik meg. Szabadon használhatja, tanulmányozhatja, megoszthatja és módosíthatja – és minden terjesztett származéknak ugyanazon feltételek mellett nyitva kell maradnia, így a pénztárca soha nem válhat csendben zárt dobozká. A licencszöveg a lerakatban található, és szabályozza az Ön kódbeli jogait.
Független auditok
AAperture-et külső biztonsági kutatók vizsgálják felül, és az eredményeket nyilvánosan kezelik. Lásd Biztonság a teljes modellhez.
Hozzájárulás
A problémákat és a lehívási kéréseket szívesen fogadjuk. Olvassa el a kódot, készítsen jelentést, vagy nyissa meg a beszélgetést GitHub.
Bug bounty
A felelősségteljes nyilvánosságot jutalmazzák. Sebezhetőséget talált? E-mail security@aperturex.io.
Olvassa el a teljes forrást a github.com/devdasx/aperture.