← Вернуться на главную

Аудит и воспроизводимые сборки

«Не доверяй — проверь». Поскольку Aperture имеет открытый исходный код, любой может подтвердить, что загружаемое вами приложение создано на основе именно того кода, который вы можете прочитать.

Воспроизводимые сборки

Воспроизводимая сборка означает, что общедоступный исходный код компилируется в тот же двоичный файл, который поставляется в App Store. Любой может пересобрать Aperture в чистой среде и побайтово подтвердить, что между кодом и устанавливаемым приложением ничего не было добавлено.

  • Детерминированный результат. Тот же источник плюс одна и та же закрепленная цепочка инструментов создают идентичный двоичный файл.
  • Никаких скрытых дополнений. Правила использования бэкдоров были введены во время сборки.
  • Самостоятельно проверяемый. Вам не нужно наше разрешение или наше слово — только публичный источник.

Как воспроизвести сборку

  • Клонировать репозиторий из GitHub на выпущенном теге.
  • Выполняйте сборку с помощью закрепленной цепочки инструментов, описанной в разделе проект.yml и документация по сборке репозитория.
  • Сравните полученный двоичный файл с версией App Store.

Посмотреть исходный код на GitHub →

Обзоры безопасности

Безопасность Aperture обеспечивается открытым контролем: полный исходный код является общедоступным, код обработки ключей небольшой и проверяемый, а награда за обнаружение ошибок вознаграждает любого, кто обнаружит реальную проблему. По мере подготовки официальных отчетов о проверке третьей стороной они будут публиковаться здесь с указанием объема, даты и результатов.

Модель угроз

  • Компромисс сервера. Серверов, на которых хранятся ключи, нет, поэтому воровать нечего.
  • Вредоносные обновления. Воспроизводимые сборки и открытый исходный код делают любые изменения видимыми.
  • Фишинг и сливы. Нет встроенного в приложение браузера или переключателя для злоупотреблений; разрешения являются отзывными.
  • Кража устройства. Секреты зашифрованы и защищены Face ID или вашим паролем.

Ответственное раскрытие информации

Сообщайте об уязвимостях в care@aperturex.io. Награды применяются в соответствии с награда за ошибку; пожалуйста, дайте время исправить, прежде чем публиковать информацию.