密码管理器Dashlane宣布开源

2022年末LastPass发生大规模数据泄露后,不仅LastPass的业务“突然死亡”,整个密码管理器市场都遭受牵连,越来越多的专业人士和用户开始质疑密码管理器自身的安全性问题,这促使密码管理器厂商纷纷加强安全措施来挽回用户信心。

近日,流行密码管理器和数字钱包开发商Dashlane宣布已根据Creative Commons Attribution-NonCommercial 4.0许可在GitHub上提供其Android和iOS密码管理器的源代码。

  • Android客户端源代码地址:

https://github.com/Dashlane/android-apps

  • iOS客户端源代码地址:

https://github.com/Dashlane/apple-apps

Dashlane声称通过开源可以提高其运作方式的透明度,同时也促进未来更具协作性和开放性的开发方法。

Dashlane计划每三个月在GitHub上更新这些代码快照,完善相关流程后,可能会更频繁地更新。

安全产品开源的意义

首先,开源意味着将产品源代码提供给任何人进行审查,从本质上增加了对产品的信任。

其次,它还为软件工程师提供了成熟的、成功的安全产品的参考,这有助于提高业界的软件工程质量,激励其工程师“提升”代码质量,使其适合更多人阅读和理解。

最后,安全研究人员可以深入研究代码,有助于查找漏洞和缺陷。Dashlane密码管理器有一个活跃的HackerOne漏洞赏金项目,为严重漏洞提供高达5000美元的赏金,因此漏洞猎手可以立即参与。

值得注意的是,Dashlane仅开源了Android和iOS客户端应用程序,macOS和Windows客户端应用程序仍然是封闭源代码。

此外,虽然Dashlane移动客户端应用程序的源代码已公开,但密码管理系统的很大一部分在Dashlane的服务器上运行,尚未开源。这意味着该密码管理器产品很大一部分仍然是私有的。

当然,这不会降低Dashlane迈出开源第一步的重要性,Dashlane已经承诺将采取更多开放措施。

根据Dashlane的说法,下一个要开源的产品是它的网络浏览器扩展,但这将在完全过渡到满足Google Chrome MV3要求之后进行。

前一篇预警:2023年每月新增1900个危险漏洞
后一篇任天堂疑似开发工具、源代码等机密数据泄露!16岁黑客为幕后黑手