Έλεγχοι & αναπαραγώγιμες κατασκευές
"Μην εμπιστεύεστε - επαληθεύστε." Επειδή το Aperture είναι ανοιχτού κώδικα, οποιοσδήποτε μπορεί να επιβεβαιώσει ότι η εφαρμογή που κατεβάζετε έχει κατασκευαστεί από τον ακριβή κώδικα που μπορείτε να διαβάσετε.
Αναπαραγώγιμες κατασκευές
Μια αναπαραγώγιμη κατασκευή σημαίνει ότι η δημόσια πηγή μεταγλωττίζεται στο ίδιο δυαδικό αρχείο που αποστέλλεται στο App Store. Οποιοσδήποτε μπορεί να δημιουργήσει εκ νέου το Aperture σε ένα καθαρό περιβάλλον και να επιβεβαιώσει, byte-for-byte, ότι δεν προστέθηκε τίποτα μεταξύ του κώδικα και της εφαρμογής που εγκαθιστάτε.
- Ντετερμινιστική έξοδος. Η ίδια πηγή συν την ίδια καρφιτσωμένη αλυσίδα εργαλείων παράγει ένα πανομοιότυπο δυαδικό αρχείο.
- Χωρίς κρυφές προσθήκες. Αποκλείει το ενδεχόμενο να μπουν πίσω πόρτες την ώρα της κατασκευής.
- Δυνατότητα ανεξάρτητου ελέγχου. Δεν χρειάζεστε την άδειά μας ή τον λόγο μας — μόνο τη δημόσια πηγή.
Πώς να αναπαράγετε την κατασκευή
- Κλωνοποιήστε το αποθετήριο από GitHub στην ετικέτα που κυκλοφόρησε.
- Κατασκευάστε με την καρφιτσωμένη αλυσίδα εργαλείων που περιγράφεται στο
project.ymlκαι τα έγγραφα κατασκευής του repo. - Συγκρίνετε το δυαδικό αρχείο που προκύπτει με την έκδοση App Store.
Κριτικές ασφαλείας
Η ασφάλεια του Aperture προέρχεται από ανοιχτό έλεγχο: η πλήρης πηγή είναι δημόσια, ο κώδικας χειρισμού κλειδιού είναι μικρός και ελεγχόμενος και η επιβράβευση σφαλμάτων ανταμείβει όποιον βρει ένα πραγματικό πρόβλημα. Καθώς ολοκληρώνονται οι επίσημες εκθέσεις ελέγχου τρίτων, θα δημοσιευθούν εδώ με το εύρος, την ημερομηνία και τα ευρήματά τους.
Μοντέλο απειλής
- Συμβιβασμός διακομιστή. Δεν υπάρχουν διακομιστές που να κρατούν κλειδιά, επομένως δεν υπάρχει τίποτα για κλοπή.
- Κακόβουλες ενημερώσεις. Οι αναπαραγώγιμες κατασκευές και ο ανοιχτός κώδικας καθιστούν ορατή οποιαδήποτε παραβίαση.
- Phishing & drainers. Χωρίς πρόγραμμα περιήγησης εντός εφαρμογής ή ανταλλαγή σε κατάχρηση. οι εγκρίσεις μπορούν να ανακληθούν.
- Κλοπή συσκευής. Τα μυστικά κρυπτογραφούνται και βρίσκονται πίσω από το Face ID ή τον κωδικό πρόσβασής σας.
Υπεύθυνη αποκάλυψη
Αναφορά τρωτών σημείων σε care@aperturex.io. Οι ανταμοιβές ισχύουν σύμφωνα με το bug bounty; παρακαλούμε αφήστε χρόνο να διορθωθεί πριν από τη δημόσια αποκάλυψη.