Odprta koda —Aperture

Odprta koda

Ne zaupaj.
Preveri.

Vsaka vrsticaAperture je javna. Preberite, zgradite in potrdite, da je aplikacija na vašem telefonu točno tista aplikacija, ki smo jo objavili.

Ogled naGitHub Oglejte si v akciji →

Varnost s preglednostjo

Denarnica vas prosi, da ji zaupate vse, kar imate. Verjamemo, da si je treba zaupanje pridobiti na odprtem, ne pa uveljavljati na marketinški strani. Vsak delAperture, ki se dotakne vaših ključev ali vaših sredstev, je objavljen za vsakogar – neodvisne raziskovalce, revizorje ali vas – za branje, izvajanje in izziv. Varnost z nejasnostjo ne ščiti nikogar; varnost, ki jo lahko pregledate, ščiti vse.

Kaj je javno

Ne očiščeno "jedro" – celotna aplikacija. Javno skladišče vsebuje:

  • celoten odjemalec za iOS in iPadOS ter njegov celoten uporabniški vmesnik;
  • generiranje ključev, izpeljava semena (BIP-39 / BIP-32) in integracijaSecure Enclave;
  • konstrukcija transakcije, ocena provizije in podpisovanje za vsako podprto omrežje;
  • omrežna plast – točno s katerimi strežniki se aplikacija poveže in zakaj;
  • skripte za gradnjo in cevovod izdaje, ki proizvajajo binarno datotekoApp Store.

Med vami in verigo blokov ni zaprtokodnih SDK-jev, skritih binarnih datotek in nobene lastniške storitve.

Kar lahko preverite sami

Ker je vir popoln, lahko potrdite trditve preostalega dela tega spletnega mesta – namesto da nam verjamete na besedo. Izsledite lahko, da so zasebni ključi ustvarjeni z dobro pregledanimi kriptografskimi knjižnicami in zapečateni vSecure Enclave; da nikoli niso serijski, zabeleženi ali poslani po omrežju; da aplikacija ne vsebuje analitične, telemetrične ali oglaševalske kode; in natančno, s katerimi končnimi točkami tretjih oseb se vzpostavi stik za branje bilanc in oddajanje transakcij.

Ponovljive zgradbe

Odprta koda je pomembna le, če je aplikacija v vašem telefonu aplikacija v skladišču. IzdajeAperture so deterministične: sestavljanje označenega vira ustvari dvojiško datoteko, ki se ujema s tem, kar pošiljamo, tako da lahko primerjate zgoščeno vrednost svoje lastne gradnje z objavljeno izdajo. "Odprta koda" ni obljuba o neki drugi kodi - to je koda, ki se izvaja v vaši napravi.

Zgradite ga sami

Klonirajte repozitorij in zgradite z enim samim ukazom. The preveriti target ponovno zgradi izdajo in jo razlikuje glede na objavljeno dvojiško datoteko. Celotna navodila so na voljo v README.

$ git klon https://github.com/devdasx/aperture.git
$ cdaperture
$ naredi preveri

Javna zgodovina samo za dodajanje

Nič se ne ureja tiho. Vsaka sprememba je javna objava, vsaka izdaja je podpisana in datirana oznaka, celotna zgodovina pa je na voljo vsakomur, ki jo lahko pregleda. Če se vrstica, ki obravnava vaše ključe, spremeni, lahko vidite, kdo jo je spremenil, kdaj in zakaj.

Minimalne odvisnosti

Vsaka odvisnost je koda, ki ji morate zaupati, zato je seznam kratek.Aperture se opira na majhen nabor dobro uveljavljenih, pripetih knjižnic – vsako od njih je mogoče pregledati v manifestu gradnje – in je dobavljen brez kakršnih koli SDK-jev za oglaševanje, analitiko ali dodeljevanje.

Licenca

Aperture je izdan pod licenco GPL-3.0. Prosto jo lahko uporabljate, preučujete, delite in spreminjate — vsaka distribuirana izpeljanka pa mora ostati odprta pod istimi pogoji, tako da denarnica nikoli ne more tiho postati zaprta škatla. Besedilo licence živi v skladišču in ureja vaše pravice v kodi.

Neodvisne revizije

Aperture pregledajo zunanji varnostni raziskovalci, ugotovitve pa se obravnavajo javno. Glej Varnost za polni model.

Prispevam

Težave in zahteve za vleko so dobrodošle. Preberite kodo, vložite poročilo ali odprite razpravo o GitHub.

Nagrada za hrošče

Odgovorno razkritje je nagrajeno. Ste našli ranljivost? E-pošta security@aperturex.io.

Preberite celoten vir na github.com/devdasx/aperture.