Audit & binaan boleh dihasilkan semula
"Jangan percaya - sahkan." Oleh kerana Aperture ialah sumber terbuka, sesiapa sahaja boleh mengesahkan bahawa apl yang anda muat turun dibina daripada kod tepat yang boleh anda baca.
Binaan yang boleh dihasilkan semula
Binaan yang boleh dihasilkan semula bermaksud sumber awam menyusun kepada binari yang sama yang dihantar pada App Store. Sesiapa sahaja boleh membina semula Aperture dalam persekitaran yang bersih dan mengesahkan, bait-untuk-bait, bahawa tiada apa-apa yang ditambahkan antara kod dan apl yang anda pasang.
- Keluaran deterministik. Sumber yang sama ditambah rantai alat yang disematkan sama menghasilkan binari yang sama.
- Tiada tambahan tersembunyi. Peraturan keluar pintu belakang tergelincir masuk pada masa pembinaan.
- Boleh diperiksa secara bebas. Anda tidak memerlukan kebenaran kami atau perkataan kami — hanya sumber awam.
Bagaimana untuk menghasilkan semula binaan
- Klon repositori daripada GitHub pada tag yang dikeluarkan.
- Bina dengan rantai alat yang disematkan yang diterangkan dalam
project.ymldan dokumen binaan repo. - Bandingkan binari yang terhasil dengan keluaran App Store.
Ulasan keselamatan
Keselamatan Aperture datang daripada semakan terbuka: sumber penuh adalah awam, kod pengendalian kunci adalah kecil dan boleh diaudit, dan hadiah pepijat memberi ganjaran kepada sesiapa sahaja yang menemui isu sebenar. Apabila laporan audit rasmi pihak ketiga selesai, laporan tersebut akan diterbitkan di sini dengan skop, tarikh dan penemuannya.
Model ancaman
- Kompromi pelayan. Tiada pelayan yang memegang kunci, jadi tiada apa-apa untuk dicuri.
- Kemas kini berniat jahat. Binaan yang boleh dihasilkan semula serta sumber terbuka menjadikan sebarang gangguan kelihatan.
- Pancingan data & penguras. Tiada penyemak imbas dalam apl atau bertukar kepada penyalahgunaan; kelulusan boleh dibatalkan.
- Kecurian peranti. Rahsia disulitkan dan berpagar di belakang Face ID atau kod laluan anda.
Pendedahan yang bertanggungjawab
Laporkan kelemahan kepada care@aperturex.io. Ganjaran dikenakan di bawah hadiah pepijat; sila berikan masa untuk membetulkan sebelum pendedahan awam.