Открытый исходный код
Не доверяйте.
Проверять.
Каждая строкаAperture является общедоступной. Прочтите его, создайте и подтвердите, что приложение на вашем телефоне — это именно то приложение, которое мы опубликовали.
Безопасность через прозрачность
Кошелек просит вас доверить ему все, что у вас есть. Мы считаем, что доверие нужно завоевывать открыто, а не утверждать на маркетинговой странице. Каждая частьAperture, которая касается ваших ключей или ваших средств, публикуется для всех — независимых исследователей, аудиторов или вас — чтобы они могли читать, запускать и бросать вызов. Безопасность посредством неизвестности никого не защищает; безопасность, которую вы можете проверить, защищает всех.
Что такое публичное
Не урезанное «ядро» — все приложение. Публичный репозиторий содержит:
- полный клиент iOS и iPadOS и весь его пользовательский интерфейс;
- генерация ключей, деривация начальных чисел (BIP-39/BIP-32) и интеграцияSecure Enclave;
- построение транзакций, оценка комиссий и подписание для каждой поддерживаемой сети;
- сетевой уровень — с какими именно серверами связывается приложение и почему;
- сценарии сборки и конвейер выпуска, которые создают двоичный файлApp Store.
Между вами и блокчейном нет SDK с закрытым исходным кодом, скрытых двоичных файлов и проприетарных сервисов.
В чем вы можете убедиться сами
Поскольку источник является полным, вы можете подтвердить утверждения остальной части этого сайта, а не верить нам на слово. Вы можете проследить, что закрытые ключи создаются с использованием проверенных криптографических библиотек и запечатываются вSecure Enclave; что они никогда не сериализуются, не протоколируются и не отправляются по сети; что приложение не содержит кода аналитики, телеметрии или рекламы; и какие именно сторонние конечные точки используются для чтения балансов и широковещательных транзакций.
Воспроизводимые сборки
Открытый исходный код имеет значение только в том случае, если приложение на вашем телефоне находится в репозитории. РелизыAperture являются детерминированными: при создании исходного кода с тегами создается двоичный файл, соответствующий тому, что мы поставляем, поэтому вы можете сравнить хеш своей собственной сборки с опубликованным выпуском. «Открытый исходный код» — это не обещание какого-то другого кода — это код, работающий на вашем устройстве.
Построй сам
Клонируйте репозиторий и выполните сборку с помощью одной команды. проверить target пересобирает выпуск и сравнивает его с опубликованным двоичным файлом. Полные инструкции нах—дятся в README.
Публичная история, доступная только для добавления
Ничего не редактируется спокойно. Каждое изменение — это пуб—ичная фиксация, каждый выпуск — это подписанный и датированный тег, а полная история доступна каждому для проверки. Если строка, обрабатывающая ваши ключи, изменится, вы сможете увидеть, кто ее изменил, когда и почему.
Минимальные зависимости
Каждая зависимость — это код, которому вы должны доверять, поэтому мы делаем список коротким.Aperture опирается на небольшой набор хорошо зарекомендовавших себя закрепленных библиотек, каждую из которых можно просмотреть в манифесте сборки, и поставляется без каких-либо SDK для рекламы, аналитики или атрибуции.
Лицензия
Aperture выпускается под лицензией GPL-3.0. Вы можете свободно использовать, изучать, делиться и модифицировать его — и любой распространяемый производный продукт должен оставаться открытым на тех же условиях, чтобы кошелек никогда не мог незаметно превратиться в закрытый ящик. Текст лицензии находится в репозитории и регулирует ваши права в коде.
Независимые аудиты
Aperture проверяется внешними исследователями безопасности, и результаты публикуются открыто. См. Безопасность для полной модели.
Содействие
Проблемы и запросы на включение приветствуются. Прочтите код, отправьте отчет или откройте обсуждение на GitHub.
Награда за ошибку
Ответственное раскрытие информации вознаграждается. Нашли уязвимость? электронная почта security@aperturex.io.
Полный исходный код читайте на github.com/devdasx/aperture.