Otwarte źródło
Nie ufaj.
Zweryfikować.
Każda liniaAperture jest publiczna. Przeczytaj, zbuduj i potwierdź, że aplikacja na Twoim telefonie jest dokładnie tą aplikacją, którą opublikowaliśmy.
Bezpieczeństwo dzięki przejrzystości
Portfel prosi Cię o powierzenie mu wszystkiego, co posiadasz. Wierzymy, że na zaufanie trzeba zdobywać otwarcie, a nie potwierdzać je na stronie marketingowej. Każda częśćAperture, która dotyczy Twoich kluczy lub funduszy, jest publikowana dla każdego – niezależnych badaczy, audytorów lub Ciebie – do przeczytania, uruchomienia i wyzwania. Bezpieczeństwo poprzez ciemność nie chroni nikogo; bezpieczeństwo, które możesz sprawdzić, chroni wszystkich.
Co jest publiczne
Nie okrojony „rdzeń” – cała aplikacja. Repozytorium publiczne zawiera:
- kompletny klient iOS i iPadOS oraz cały interfejs użytkownika;
- generowanie kluczy, wyprowadzanie nasion (BIP-39 / BIP-32) i integracjaSecure Enclave;
- konstruowanie transakcji, szacowanie opłat i podpisywanie dla każdej obsługiwanej sieci;
- warstwa sieciowa — dokładnie, z którymi serwerami łączy się aplikacja i dlaczego;
- skrypty kompilacji i potok wydań, które tworzą plik binarnyApp Store.
Nie ma żadnych pakietów SDK o zamkniętym kodzie źródłowym, żadnych ukrytych plików binarnych ani żadnej zastrzeżonej usługi oddzielającej Ciebie od łańcucha bloków.
Co możesz sprawdzić sam
Ponieważ źródło jest kompletne, możesz potwierdzić twierdzenia zawarte w pozostałej części tej witryny — zamiast wierzyć nam na słowo. Możesz prześledzić, że klucze prywatne są tworzone przy użyciu dobrze sprawdzonych bibliotek kryptograficznych i zapieczętowane wSecure Enclave; że nigdy nie są serializowane, rejestrowane ani przesyłane przez sieć; że aplikacja nie zawiera żadnego kodu analitycznego, telemetrycznego ani reklamowego; i dokładnie, z którymi punktami końcowymi stron trzecich się kontaktujemy w celu odczytania sald i transmisji transakcji.
Powtarzalne kompilacje
Otwarte oprogramowanie ma znaczenie tylko wtedy, gdy aplikacja na Twoim telefonie jest aplikacją w repozytorium. WydaniaAperture są deterministyczne: zbudowanie otagowanego źródła daje plik binarny pasujący do tego, co dostarczamy, dzięki czemu możesz porównać skrót własnej kompilacji z opublikowanym wydaniem. „Open source” nie oznacza obietnicy dotyczącej innego kodu — jest to kod działający na Twoim urządzeniu.
Zbuduj to sam
Sklonuj repozytorium i zbuduj za pomocą jednego polecenia. The zweryfikować target przebudowuje wydanie i porównuje je z opublikowanym plikiem binarnym. Pełne instrukcje znajdują się w pliku README.
Publiczna historia, którą można tylko dodawać
Nic nie jest edytowane po cichu. Każda zmiana jest publicznym zatwierdzeniem, każde wydanie jest opatrzone podpisem i datą, a pełna historia jest dostępna dla każdego do sprawdzenia. Jeśli linia obsługująca Twoje klucze ulegnie zmianie, możesz zobaczyć, kto, kiedy i dlaczego ją zmienił.
Minimalne zależności
Każda zależność to kod, któremu musisz zaufać, dlatego lista jest krótka.Aperture opiera się na małym zestawie dobrze ugruntowanych, przypiętych bibliotek — każdą można przeglądać w manifeście kompilacji — i jest dostarczany bez jakichkolwiek reklam, analiz ani zestawów SDK do atrybucji.
Licencja
Aperture jest udostępniany na licencji GPL-3.0. Możesz go używać, studiować, udostępniać i modyfikować – a wszelkie rozpowszechniane instrumenty pochodne muszą pozostać otwarte na tych samych warunkach, aby portfel nigdy nie mógł po cichu stać się zamkniętym pudełkiem. Tekst licencji znajduje się w repozytorium i reguluje Twoje prawa w kodzie.
Niezależne audyty
Aperture jest sprawdzany przez zewnętrznych badaczy bezpieczeństwa, a ustalenia są omawiane publicznie. Zobacz Bezpieczeństwo dla pełnego modelu.
Wkład
Problemy i prośby o ściągnięcie są mile widziane. Przeczytaj kod, zgłoś raport lub otwórz dyskusję na temat GitHub.
Nagroda za błąd
Odpowiedzialne ujawnianie informacji jest nagradzane. Znalazłeś lukę? E-mail security@aperturex.io.
Przeczytaj pełne źródło pod adresem github.com/devdasx/aperture.