Odprta koda
Ne zaupaj.
Preveri.
Vsaka vrsticaAperture je javna. Preberite, zgradite in potrdite, da je aplikacija na vašem telefonu točno tista aplikacija, ki smo jo objavili.
Varnost s preglednostjo
Denarnica vas prosi, da ji zaupate vse, kar imate. Verjamemo, da si je treba zaupanje pridobiti na odprtem, ne pa uveljavljati na marketinški strani. Vsak delAperture, ki se dotakne vaših ključev ali vaših sredstev, je objavljen za vsakogar – neodvisne raziskovalce, revizorje ali vas – za branje, izvajanje in izziv. Varnost z nejasnostjo ne ščiti nikogar; varnost, ki jo lahko pregledate, ščiti vse.
Kaj je javno
Ne očiščeno "jedro" – celotna aplikacija. Javno skladišče vsebuje:
- celoten odjemalec za iOS in iPadOS ter njegov celoten uporabniški vmesnik;
- generiranje ključev, izpeljava semena (BIP-39 / BIP-32) in integracijaSecure Enclave;
- konstrukcija transakcije, ocena provizije in podpisovanje za vsako podprto omrežje;
- omrežna plast – točno s katerimi strežniki se aplikacija poveže in zakaj;
- skripte za gradnjo in cevovod izdaje, ki proizvajajo binarno datotekoApp Store.
Med vami in verigo blokov ni zaprtokodnih SDK-jev, skritih binarnih datotek in nobene lastniške storitve.
Kar lahko preverite sami
Ker je vir popoln, lahko potrdite trditve preostalega dela tega spletnega mesta – namesto da nam verjamete na besedo. Izsledite lahko, da so zasebni ključi ustvarjeni z dobro pregledanimi kriptografskimi knjižnicami in zapečateni vSecure Enclave; da nikoli niso serijski, zabeleženi ali poslani po omrežju; da aplikacija ne vsebuje analitične, telemetrične ali oglaševalske kode; in natančno, s katerimi končnimi točkami tretjih oseb se vzpostavi stik za branje bilanc in oddajanje transakcij.
Ponovljive zgradbe
Odprta koda je pomembna le, če je aplikacija v vašem telefonu aplikacija v skladišču. IzdajeAperture so deterministične: sestavljanje označenega vira ustvari dvojiško datoteko, ki se ujema s tem, kar pošiljamo, tako da lahko primerjate zgoščeno vrednost svoje lastne gradnje z objavljeno izdajo. "Odprta koda" ni obljuba o neki drugi kodi - to je koda, ki se izvaja v vaši napravi.
Zgradite ga sami
Klonirajte repozitorij in zgradite z enim samim ukazom. The preveriti target ponovno zgradi izdajo in jo razlikuje glede na objavljeno dvojiško datoteko. Celotna navodila so na voljo v README.
Javna zgodovina samo za dodajanje
Nič se ne ureja tiho. Vsaka sprememba je javna objava, vsaka izdaja je podpisana in datirana oznaka, celotna zgodovina pa je na voljo vsakomur, ki jo lahko pregleda. Če se vrstica, ki obravnava vaše ključe, spremeni, lahko vidite, kdo jo je spremenil, kdaj in zakaj.
Minimalne odvisnosti
Vsaka odvisnost je koda, ki ji morate zaupati, zato je seznam kratek.Aperture se opira na majhen nabor dobro uveljavljenih, pripetih knjižnic – vsako od njih je mogoče pregledati v manifestu gradnje – in je dobavljen brez kakršnih koli SDK-jev za oglaševanje, analitiko ali dodeljevanje.
Licenca
Aperture je izdan pod licenco GPL-3.0. Prosto jo lahko uporabljate, preučujete, delite in spreminjate — vsaka distribuirana izpeljanka pa mora ostati odprta pod istimi pogoji, tako da denarnica nikoli ne more tiho postati zaprta škatla. Besedilo licence živi v skladišču in ureja vaše pravice v kodi.
Neodvisne revizije
Aperture pregledajo zunanji varnostni raziskovalci, ugotovitve pa se obravnavajo javno. Glej Varnost za polni model.
Prispevam
Težave in zahteve za vleko so dobrodošle. Preberite kodo, vložite poročilo ali odprite razpravo o GitHub.
Nagrada za hrošče
Odgovorno razkritje je nagrajeno. Ste našli ranljivost? E-pošta security@aperturex.io.
Preberite celoten vir na github.com/devdasx/aperture.