Dashlane публикует свой исходный код на GitHub в рамках программы повышения прозрачности

Компания по управлению паролями Dashlane разместила код своего мобильного приложения на GitHub для всеобщего ознакомления, что стало первым шагом в рамках более широкой программы по повышению прозрачности своей платформы.

Код приложения Dashlane для Android доступен сейчас наряду с кодом приложения для iOS, но, похоже, он также включает в себя кодовую базу приложений для Apple Watch и Mac, хотя Dashlane не объявляла об этом специально. Компания заявила, что со временем планирует сделать код веб-расширения также доступным на GitHub.

Не с открытым исходным кодом

Первоначально Dashlane заявила, что планирует сделать свою базу данных "полностью открытой", но в ответ на несколько вопросов, заданных TechCrunch, выяснилось, что на самом деле этого не произойдет.

Сначала код будет открыт только для целей аудита, но в будущем компания может начать принимать вклады - однако нет никаких предположений, что компания пойдет на все и позволит публике форкать или иным образом использовать код в своих собственных приложениях.

"Пока мы не можем принимать вклады в код, но в будущем мы стремимся сделать так, чтобы внешние авторы могли предлагать улучшения непосредственно в GitHub", - написала компания в сегодняшнем блоге. "Но это также требует еще одного уровня внутренней организации. В конце концов, мы планируем позволить другим разработчикам активно вносить свой вклад и участвовать в развитии Dashlane."

Dashlane выпустила код под лицензией Creative Commons Attribution-NonCommercial 4.0, что технически означает, что пользователям разрешено копировать, делиться и создавать на основе кода, если это делается в некоммерческих целях. Однако компания заявила, что она убрала некоторые ключевые элементы из своего релиза, эффективно ограничивая возможности сторонних разработчиков по работе с кодом.

"Вы не сможете создать свой собственный Dashlane с помощью этого кода - мы делимся рецептом, но нам пришлось опустить несколько ингредиентов, которые делают его нашим собственным", - написала компания.

Любопытно, что хотя лицензии Creative Commons часто применяются к таким произведениям, как музыка, фотографии и даже базы данных, программное обеспечение является одной из категорий, для которой компания специально рекомендует не использовать свою лицензию. В разделе FAQ на сайте Creative Commons организация отмечает:

Мы не рекомендуем использовать лицензии Creative Commons для программного обеспечения. Вместо этого мы настоятельно рекомендуем вам использовать одну из очень хороших лицензий на программное обеспечение, которые уже доступны. Мы рекомендуем рассматривать лицензии, включенные в список бесплатных Фондом свободного программного обеспечения и в список "открытых источников" Инициативы по открытым источникам.

Прозрачность

Основанная в 2009 году, компания Dashlane является одним из многих поставщиков услуг по управлению паролями, позволяющих пользователям создавать и хранить надежные и уникальные пароли для всех своих онлайн-сервисов - ведь именно скомпрометированные пароли являются причиной львиной доли нарушений безопасности. Хотя компания из Нью-Йорка изначально ориентировалась на потребительский рынок, с момента запуска Dashlane Business в 2016 году она удвоила свои корпоративные полномочия, чему в некоторой степени способствовал раунд финансирования в размере 110 миллионов долларов, проведенный Sequoia четыре года назад. И это намекает на одну из главных причин, по которой компания стремится немного открыть свою кодовую базу.

Действительно, сегодняшнее объявление поступило через пару месяцев после того, как конкурирующая компания LastPass объявила об утечке данных, в результате которой киберпреступники похитили некоторые хранилища паролей ее клиентов. Хотя неясно, в какой степени обнародование кодовой базы своего мобильного приложения предотвратит подобную утечку данных от Dashlane, в старой поговорке из сферы открытого кода о том, что "нет безопасности через неизвестность", есть немалая польза - и Dashlane явно хочет заработать несколько дополнительных очков прозрачности от своих бизнес-клиентов.

Более того, поскольку конкуренты в сфере управления паролями, такие как Bitwarden, который недавно привлек финансирование в размере 100 миллионов долларов, выставляют напоказ свои открытые полномочия, это оказывает дополнительное давление на Dashlane, заставляя ее принять аналогичную прозрачную философию.

"Главное преимущество обнародования этого кода заключается в том, что любой желающий может провести аудит кода и понять, как мы создаем мобильное приложение Dashlane", - пишет компания. "Клиенты и любопытные также могут изучить алгоритмы и логику, лежащие в основе программного обеспечения для управления паролями в целом. Кроме того, бизнес-клиенты или те, кто может быть заинтересован в этом, могут лучше соответствовать требованиям соответствия, имея возможность ознакомиться с нашим кодом".

Кроме того, компания утверждает, что преимуществом публикации кода является привлечение технических специалистов, которые могут ознакомиться с кодом перед собеседованием и, возможно, поделиться идеями о том, как его можно улучшить. Кроме того, так называемые "хакеры-белоручки" теперь будут лучше подготовлены для получения вознаграждения за ошибки.

"Прозрачность и доверие являются частью ценностей нашей компании, и мы стремимся отражать эти ценности во всем, что мы делаем", - продолжает Dashlane. "Мы надеемся, что прозрачность нашей кодовой базы повысит доверие клиентов к нашему продукту".