← Vissza a kezdőlapra

Auditok és reprodukálható buildek

"Ne bízz - ellenőrizd." Mivel az Aperture nyílt forráskódú, bárki megerősítheti, hogy a letöltött alkalmazás pontosan az Ön által olvasható kódból épül fel.

Reprodukálható építmények

A reprodukálható összeállítás azt jelenti, hogy a nyilvános forrás ugyanarra a bináris fájlra fordít, amely a App Store-on található. Bárki újraépítheti az Aperture terméket tiszta környezetben, és bájtról bájtra megerősítheti, hogy semmi nem került hozzáadásra a kód és a telepített alkalmazás közé.

  • Determinisztikus kimenet. Ugyanaz a forrás és ugyanaz a rögzített eszközlánc azonos binárist állít elő.
  • Nincsenek rejtett kiegészítések. Kizárja, hogy a hátsó ajtók becsúsztak az építési időben.
  • Önállóan ellenőrizhető. Nincs szüksége az engedélyünkre vagy a szavunkra – csak a nyilvános forrásra.

Hogyan reprodukálható a build

  • A tár klónozása innen GitHub a kiadott cédulánál.
  • Építsd meg a pontban leírt rögzített szerszámlánccal projekt.yml és a repo build dokumentumait.
  • Hasonlítsa össze a kapott bináris fájlt az App Store kiadással.

Forrás megtekintése itt: GitHub →

Biztonsági felülvizsgálatok

Az Aperture biztonsága nyílt felülvizsgálatból származik: a teljes forrás nyilvános, a kulcskezelő kód kicsi és ellenőrizhető, a hibadíj pedig mindenkit megjutalmaz, aki valódi problémát talál. A harmadik felek hivatalos ellenőrzési jelentései elkészültekor itt közzétételre kerülnek hatókörükkel, dátumukkal és megállapításaikkal együtt.

Fenyegetés modell

  • Szerver kompromisszum. Nincsenek kulcsokat tartó szerverek, így nincs mit ellopni.
  • Rosszindulatú frissítések. A reprodukálható buildek és a nyílt forráskód láthatóvá tesz minden manipulációt.
  • Adathalászat és adathalászat. Nincs alkalmazáson belüli böngésző vagy csere a visszaélésre; a jóváhagyások visszavonhatók.
  • Készüléklopás. A titkok titkosítva vannak, és az Face ID vagy az Ön jelszava mögé zárva vannak.

Felelős nyilvánosságra hozatal

A sebezhetőségeket jelentse a következőnek care@aperturex.io. alatti jutalmak érvényesek bug bounty; kérjük, hagyjon időt a javításra, mielőtt nyilvánosságra hozzák.