通过透明度确保安全
钱包要求您信任它拥有的一切。我们认为,信任必须在公开场合赢得,而不是在营销页面上主张。Aperture 涉及您的钥匙或资金的每个部分都已发布,供任何人(独立研究人员、审计员或您)阅读、运行和挑战。默默无闻的安全保护不了任何人;您可以检查的安全性可以保护每个人。
什么是公开的
不是一个精简的“核心”——整个应用程序。公共存储库包含:
- 完整的 iOS 和 iPadOS 客户端及其整个用户界面;
- 密钥生成、种子派生 (BIP-39 / BIP-32) 和Secure Enclave 集成;
- 每个受支持网络的交易构建、费用估算和签名;
- 网络层——应用程序到底联系哪些服务器,以及原因;
- 生成App Store 二进制文件的构建脚本和发布管道。
您和区块链之间没有闭源 SDK、没有隐藏的二进制文件、也没有专有服务。
您可以亲自验证什么
由于来源完整,您可以确认本网站其余部分的声明,而不是相信我们的话。您可以追踪到私钥是使用经过严格审查的密码库创建的,并密封在Secure Enclave 中;它们永远不会被序列化、记录或通过网络发送;该应用程序不包含分析、遥测或广告代码;以及准确联系哪些第三方端点来读取余额和广播交易。
可重复的构建
仅当您手机上的应用程序是存储库中的应用程序时,开源才有意义。Aperture 的版本是确定性的:构建标记源会生成与我们发布的内容相匹配的二进制文件,因此您可以将自己构建的哈希值与已发布的版本进行比较。 “开源”并不是对其他代码的承诺——它是在您的设备上运行的代码。
自己构建
克隆存储库并使用单个命令进行构建。的 验证 目标重建一个版本并将其与已发布的二进制文件进行比较。完整说明位于自述文件中。
公开的、仅附加的历史记录
没有什么是悄悄编辑的。每个更改都是公开提交,每个版本都有签名和日期标签,并且完整的历史记录可供任何人审核。如果处理您的密钥的线路发生更改,您可以看到谁更改了它、何时更改以及原因。
最小的依赖性
每个依赖项都是您必须信任的代码,因此我们保持列表简短。Aperture 依赖于一小组完善的固定库(每个库都可以在构建清单中进行审查),并且不附带任何类型的广告、分析或归因 SDK。
许可证
Aperture 根据 GPL-3.0 许可证发布。你可以自由地使用、研究、分享和修改它——任何分布式衍生品都必须在相同的条款下保持开放,所以钱包永远不会悄悄地变成一个封闭的盒子。许可证文本位于存储库中并管理您对代码的权利。
独立审核
Aperture 由外部安全研究人员进行审查,并公开处理调查结果。参见 安全性 对于完整模型。
贡献
欢迎提出问题和拉取请求。阅读代码、提交报告或展开讨论 GitHub.
错误赏金
负责任的披露会受到奖励。发现漏洞?电子邮件 security@aperturex.io.
阅读完整源代码: github.com/devdasx/aperture.