密码管理公司Dashlane已在 GitHub 上提供其移动应用程序代码以供公众阅读,这是该公司在更广泛地推动其平台更加透明方面迈出的第一步。
Dashlane Android 应用程序代码现在可以与iOS 版本一起使用,尽管它似乎还包括其 Apple Watch 和 Mac 应用程序的代码库,尽管 Dashlane 尚未具体宣布这一点。该公司表示,它最终计划在 GitHub 上提供其网络扩展的代码。
不开源
最初,Dashlane 曾表示计划使其代码库“完全开源”,但在回应 TechCrunch 提出的一些问题时,事实似乎并非如此。
起初,代码将仅出于审计目的而开放,但在未来它也可能开始接受贡献——但是没有迹象表明它将全力以赴并允许公众分叉或以其他方式重新使用代码他们自己的应用程序。
“虽然我们还不能接受对代码的贡献,但在未来,我们渴望做到这一点,这样外部贡献者就可以直接在 GitHub 上提出改进建议,”该公司今天在一篇博文中写道。 “但这也需要另一个层次的内部组织。最终,我们计划让其他开发者积极贡献,参与 Dashlane 的开发。”
Dashlane 已根据Creative Commons Attribution-NonCommercial 4.0许可发布了代码,从技术上讲,这意味着只要出于非商业目的,用户就可以复制、共享和构建代码库。然而,该公司表示,它已经从其发布中删除了一些关键元素,有效地限制了第三方开发人员能够使用代码执行的操作。
该公司写道:“你将无法使用此代码构建你自己的 Dashlane——我们正在共享配方,但我们不得不遗漏一些使其成为我们自己的成分。”
奇怪的是,虽然 Creative Commons 许可证通常适用于音乐、照片甚至数据库等作品,但软件是它特别建议不要使用其许可证的一类。在知识共享网站的常见问题解答部分,该组织指出:
我们不建议对软件使用知识共享许可。相反,我们强烈建议您使用已经可用的非常好的软件许可证之一。我们建议考虑被自由软件基金会列为免费并被开源计划列为“开源”的许可证。
透明度
Dashlane图片来源:Dashlane
Dashlane 成立于 2009 年,是众多密码管理服务提供商之一,这些服务提供商允许用户为其所有在线服务生成和存储强大而独特的密码——毕竟,泄露的密码是大部分安全漏洞的罪魁祸首。虽然这家总部位于纽约的公司最初专注于消费者市场,但自 2016 年推出 Dashlane Business以来,它一直在加倍提升其企业信誉,这在一定程度上得到了红杉资本四年前领投的1.1 亿美元一轮融资的支持。这暗示了该公司希望稍微开放其代码库的主要原因之一。
事实上,今天的公告是在其竞争对手 LastPass宣布数据泄露事件几个月后发布的,网络犯罪分子继续窃取其部分客户的密码库。虽然目前尚不清楚发布其移动应用程序代码库能在多大程度上避免 Dashlane 发生此类违规行为,但开源领域的一句古老格言“默默无闻是安全无保障的”具有重要意义——而 Dashlane 显然希望获得一些收益来自其商业客户的额外透明度点。
此外,密码管理领域的竞争对手,例如最近筹集了 1 亿美元资金的Bitwarden ,都在炫耀他们的公开证书,这给 Dashlane 等公司带来了更大的压力,要求它们采用类似的透明理念。
“公开此代码的主要好处是任何人都可以审核代码并了解我们如何构建 Dashlane 移动应用程序,”该公司写道。 “客户和好奇者还可以探索一般密码管理软件背后的算法和逻辑。此外,企业客户或可能感兴趣的客户可以通过查看我们的代码来更好地满足合规性要求。”
最重要的是,该公司表示,发布其代码的一个好处可能是吸引技术人才,他们可以在面试前检查代码,并可能分享一些关于如何改进的想法。此外,所谓的“白帽黑客”现在更有能力赚取漏洞赏金。
“透明度和信任是我们公司价值观的一部分,我们努力在我们所做的每一件事中反映这些价值观,”Dashlane 继续说道。 “我们希望对我们的代码库保持透明将增加客户对我们产品的信任。”
Dashlane 在最初发布于TechCrunch的Paul Sawers的透明度推动下将其源代码发布到 GitHub
原文: https://techcrunch.com/2023/02/02/dashlane-publishes-its-source-code-to-github-in-transparency-push/