Testnizer
EN TR
Download
Güvenlik modeli

Kodla zorunlu kılınan
üç temel kural.

Bize güvenmenizi istemiyoruz. Uygulamanın verilerinizi siz söylemedikçe herhangi bir yere göndermesini mimari olarak imkânsız hale getiriyoruz.

1

CSP connect-src self

Renderer'ın İçerik Güvenlik Politikası başlığı connect-src 'self' olarak ayarlanmıştır — React arayüzü fiziksel olarak kendi kaynağı dışında hiçbir şeye bağlantı açamaz. Her API çağrısı, sizin denetiminizdeki denetlenmiş bir Node ana süreç IPC işleyicisinden geçer.

2

Varsayılan olarak süreç yalıtımı

contextIsolation açık. nodeIntegration kapalı. Preload betiği yalnızca denetlenmiş bir window.api yüzeyini açar — arayüz iş parçacığından ham fetch, axios veya require yok.

3

Gizli bilgiler işletim sistemi anahtarlığından geçer

Parola ifadeleri, temel kimlik doğrulama parolaları, taşıyıcı token'lar, OAuth yenileme token'ları ve sertifika anahtarlarının tamamı Electron safeStorage üzerinden geçer — macOS'ta Keychain, Windows'ta DPAPI, Linux'ta libsecret. SQLite'a yalnızca şifreli bloblar dokunur. Ham değerler asla diske yazılmaz.

4

Tasarım gereği sıfır telemetri

Analitik uç noktası yoktur. Başlangıçta 'eve telefon' yok. Arka plan senkronizasyonu yok. Anonim kullanım istatistiği yok. Otomatik güncelleme yalnızca siz istediğinizde çalışır ve Ayarlar'dan kapatabilirsiniz.

Pratikte ne anlama gelir

Testnizer'ın yapmadığı altı şey.

Telemetri yok

Devre dışı bırakılacak bir analitik uç noktamız yoktur. Katılım seçeneği de yoktur.

Giriş yok

Hesap oluşturma yok. SSO yok. Hiçbir satıcı sunucusu uygulamanın varlığından bile haberdar olmaz.

Bulut senkronizasyonu yok

Koleksiyonlarınız yerel bir SQLite içinde yaşar. Yedeklemeler sizin sorumluluğunuzdadır. Bu, yapılan takas budur.

Arka plan çıkışı yok

Renderer'ın CSP'si bunu engeller. Ana süreç yalnızca sizin tetiklediğiniz bağlantıları açar.

Üçüncü taraf JWT çözme yok

Çözme, Node'un crypto modülüyle yerel olarak çalışır. Token asla süreçten çıkmaz.

Üçüncü taraf XML imzalama yok

WS-Security, xml-crypto + Node crypto kullanır, tamamı ana süreçtedir. Özel anahtarlar yalnızca bellekte diskten yüklenir.

Kriptografi

Tüm anahtarlar diskte kalır. Tüm işlemler süreç içinde çalışır.

XML imzalama ve şifreleme, Node'un yerel crypto modülünü artı xml-crypto ve xml-encryption kullanır. Her ikisi de ana süreçte çalışır. Özel anahtarlar talep üzerine diskten belleğe yüklenir, tek işlem için kullanılır ve istek tamamlandığında sıfırlanır.

JWT doğrulaması aynı ana süreç içindeki bir HS / RS / ES algoritma kataloğuna karşı çalışır — yardımcı servis yok, çevrimiçi doğrulama adımı yok, paylaşılan gizli havuz yok.

Saklanan gizli bilgiler — temel kimlik doğrulama parolaları, taşıyıcı token'lar, OAuth yenileme token'ları, sertifika parola ifadeleri — Electron'un safeStorage API'sinden geçer. macOS'ta bu Keychain'e devreder. Windows'ta DPAPI. Linux'ta libsecret. Ham düz metin asla projenizin SQLite veritabanına yazılmaz; yalnızca işletim sistemi şifreli blobu yazılır.

Ana parola koruması isteğe bağlıdır. Etkinleştirildiğinde, uygulama PBKDF2-SHA256 (120.000 yineleme) ile bir anahtar türetir ve bunu kaydetmeden önce tüm SQLite veritabanını zarf şifrelemek için kullanır.

Denetime hazır

İncelenebilir, tekrarlanabilir, size ait.

Açık kaynak

GitHub'da tam kaynak kodu. Güvenlik ekibiniz IPC işleyicilerinin, protokol motorlarının ve veritabanı sorgularının her satırını okuyabilir. Uyumluluk durumunuz gerektiriyorsa kaynaktan derleyin.

Tekrarlanabilir derlemeler

CI, etiketlenmiş commit'lerden platform başına yükleyiciler yayımlar. Hash'ler GitHub Actions çalıştırma çıktısında ve GitHub Sürümünde görünür. İndirdiğinizin derlenenle eşleştiğini doğrulayabilirsiniz.

İkili dosyada eve telefon yok

Gönderilen ikili dosya, analitik SDK ve uzak yapılandırma uç noktası içermez. strings, tcpdump veya favori EDR'ınızla doğrulayabilirsiniz.

Hava boşluklu kurulum

Yükleyiciyi bir kez indirin, izole bir ağa aktarın. Otomatik güncelleme devre dışı bırakılabilir. Dokümantasyon uygulama içinde sunulur — okumak için internete ihtiyacınız yok.

Bir güvenlik açığı mı buldunuz?

info@testnizer.com adresine e-posta gönderin. Lütfen güvenlik sorunları için kamuya açık bir konu açmayın. Beş iş günü içinde değerlendireceğiz.