← Terug naar huis

Audits en reproduceerbare builds

“Vertrouw niet – verifieer.” Omdat Aperture open source is, kan iedereen bevestigen dat de app die u downloadt is gebouwd op basis van de exacte code die u kunt lezen.

Reproduceerbare builds

Een reproduceerbare build betekent dat de openbare bron compileert naar precies hetzelfde binaire bestand dat op de App Store wordt geleverd. Iedereen kan Aperture opnieuw opbouwen in een schone omgeving en byte voor byte bevestigen dat er niets is toegevoegd tussen de code en de app die u installeert.

  • Deterministische output. Dezelfde bron plus dezelfde vastgezette toolchain produceert een identiek binair bestand.
  • Geen verborgen toevoegingen. Sluit uit dat er tijdens de bouwtijd achterdeurtjes naar binnen zijn geglipt.
  • Onafhankelijk controleerbaar. U heeft onze toestemming of ons woord niet nodig – alleen de openbare bron.

Hoe de build te reproduceren

  • Kloon de repository van GitHub bij het vrijgegeven label.
  • Bouw met de vastgezette gereedschapsketen die wordt beschreven in project.yml en de build-documenten van de repository.
  • Vergelijk het resulterende binaire bestand met de App Store-release.

Bron bekijken op GitHub →

Beveiligingsbeoordelingen

De veiligheid van Aperture komt voort uit een open beoordeling: de volledige bron is openbaar, de sleutelverwerkingscode is klein en controleerbaar, en de bugbounty beloont iedereen die een reëel probleem vindt. Zodra de formele auditrapporten van derden zijn voltooid, worden ze hier gepubliceerd met hun reikwijdte, datum en bevindingen.

Bedreigingsmodel

  • Servercompromis. Er zijn geen servers met sleutels, dus er valt niets te stelen.
  • Schadelijke updates. Reproduceerbare builds plus open source maken elke manipulatie zichtbaar.
  • Phishing en afdruipers. Geen in-app browser of swap voor misbruik; goedkeuringen zijn herroepbaar.
  • Diefstal van apparaten. Geheimen worden gecodeerd en verborgen achter Face ID of uw toegangscode.

Verantwoorde openbaarmaking

Meld kwetsbaarheden aan care@aperturex.io. Beloningen zijn van toepassing onder de bug premie; Geef het alstublieft tijd om het probleem op te lossen voordat het openbaar wordt gemaakt.