Atvērtais avots
Netici.
Pārbaudīt.
KatraAperture rinda ir publiska. Izlasiet to, izveidojiet to un apstipriniet, ka jūsu tālrunī esošā lietotne ir tieši tā, ko publicējām.
Drošība caur caurspīdīgumu
Maks lūdz uzticēt tam visu, kas jums pieder. Mēs uzskatām, ka uzticība ir jānopelna atklāti, nevis jāapliecina mārketinga lapā. KatraAperture daļa, kas pieskaras jūsu atslēgām vai jūsu līdzekļiem, ir publicēta ikvienam — neatkarīgiem pētniekiem, auditoriem vai jums — lasīšanai, palaišanai un izaicinājumam. Drošība tumsā neaizsargā nevienu; drošība, kuru varat pārbaudīt, aizsargā ikvienu.
Kas ir publisks
Nevis notīrīts “kodols” — visa lietotne. Publiskajā repozitorijā ir:
- viss iOS un iPadOS klients un visa tā lietotāja saskarne;
- atslēgu ģenerēšana, sēklu atvasināšana (BIP-39 / BIP-32) unSecure Enclave integrācija;
- darījuma izveide, maksas aprēķins un parakstīšana katram atbalstītajam tīklam;
- tīkla slānis — tieši ar kuriem serveriem lietotne sazinās un kāpēc;
- veidošanas skripti un izlaišanas cauruļvads, kas radaApp Store bināro failu.
Starp jums un blokķēdi nav slēgta pirmkoda SDK, slēptu bināro failu un neviena patentēta pakalpojuma.
Ko jūs varat pārbaudīt pats
Tā kā avots ir pilnīgs, varat apstiprināt pārējās šīs vietnes apgalvojumus, nevis pieņemt mūsu vārdu. Varat izsekot, ka privātās atslēgas ir izveidotas ar labi pārskatītām kriptogrāfijas bibliotēkām un aizzīmogotasSecure Enclave; ka tie nekad netiek serializēti, reģistrēti vai nosūtīti tīklā; lietotnē nav analītikas, telemetrijas vai reklāmas koda; un tieši ar kuriem trešo pušu galapunktiem sazināties, lai nolasītu atlikumus un apraides darījumus.
Reproducējamas konstrukcijas
Atvērtajam pirmkodam ir nozīme tikai tad, ja jūsu tālruņa lietotne ir repozitorijā esošā lietotne.Aperture laidieni ir deterministiski: veidojot atzīmēto avotu, tiek izveidots binārs, kas atbilst mūsu piegādātajam, lai jūs varētu salīdzināt savas versijas jaucējfunkciju ar publicēto laidienu. “Atvērtais kods” nav solījums par kādu citu kodu — tas ir kods, kas darbojas jūsu ierīcē.
Veidojiet to pats
Klonējiet repozitoriju un izveidojiet ar vienu komandu. The pārbaudīt target atjauno laidienu un atšķir to pret publicēto bināro failu. Pilnas instrukcijas ir pieejamas README.
Publiska, tikai pievienojama vēsture
Nekas netiek klusi rediģēts. Katras izmaiņas ir publiska apņemšanās, katrs laidiens ir parakstīts un datēts tags, un visu vēsturi ikviens var pārbaudīt. Ja mainās līnija, kas apstrādā jūsu atslēgas, varat redzēt, kas to mainīja, kad un kāpēc.
Minimālās atkarības
Katra atkarība ir kods, kuram ir jāuzticas, tāpēc saraksts ir īss.Aperture balstās uz nelielu vispāratzītu, piespraustu bibliotēku kopu — katra ir apskatāma būvēšanas manifestā — un tiek piegādāta bez jebkāda veida reklāmām, analītikas vai attiecinājuma SDK.
Licence
Aperture ir izlaists saskaņā ar GPL-3.0 licenci. Jūs varat to brīvi izmantot, pētīt, koplietot un modificēt — un jebkuram izplatītam atvasinājumam ir jāpaliek atvērtam saskaņā ar tādiem pašiem noteikumiem, lai maciņš nekad nevarētu mierīgi kļūt par slēgtu kastīti. Licences teksts atrodas repozitorijā un regulē jūsu tiesības kodā.
Neatkarīgas revīzijas
Aperture pārskata ārējie drošības pētnieki, un atklājumi tiek aplūkoti atklāti. Skat Drošība pilnam modelim.
Ieguldot
Ir apsveicami jautājumi un izvilkšanas pieprasījumi. Izlasiet kodu, iesniedziet ziņojumu vai atveriet diskusiju par GitHub.
Bug bounty
Atbildīga izpaušana tiek atalgota. Vai atradāt ievainojamību? E-pasts security@aperturex.io.
Pilnu avotu lasiet vietnē github.com/devdasx/aperture.