怎样 ExpressVPN 确保没有人可以将恶意软件带入您的应用程序

这篇文章最初发表于 2020 年 6 月 29 日。

需要很多人,跨多个系统工作,才能生产和维护一个 ExpressVPN 应用程序。 为了安全地进行,我们必须确保所有相关人员都经过适当的审查、设置和培训。 但这还不够。

我们还必须确保公司以外的任何人都没有机会干预这一过程。 这就是为什么我们实施了严格的构建验证程序,以确保没有第三方能够对我们的软件进行未经授权的修改,包括注入恶意软件。

正如供水受到保护,您可以信任水龙头里流出的水一样,我们的软件从创建到交付给您的整个过程都受到保护,不会受到恶意代码的污染。 现在我们已经对这些保障措施进行了独立审查。

将污染风险降至最低

近年来,我们看到了几家大型科技公司的例子,包括 个人电脑制造商,向在开发或分发期间的某个时间点感染了恶意代码的客户发布软件和硬件。

考虑到这一点,我们开发了一种验证系统,可大幅降低受感染的个人或机器可能导致我们无意中向客户分发恶意软件的风险。

这意味着您可以使用 ExpressVPN 应用程序确信它们不包含任何未经授权或恶意代码。

我们实施的一些政策和程序:

  • 使用由 PGP 颁发的加密密钥 ExpressVPN 对于所有源代码更改
  • 要求所有代码更改均由不同于进行更改的个人的授权人员批准
  • 自动审核更改,并针对意外更改发出警报,并亲自跟进
  • 仅使用自动构建环境 CircleCI 和 Azure DevOps 来生成分发给客户的二进制文件

我们的验证流程已接受普华永道瑞士的鉴证业务

但是你怎么知道我们关于我们的政策的说法是准确的? 这就是独立审计公司普华永道瑞士的用武之地。

为了验证这些保护措施,普华永道瑞士开展了一项独立的鉴证工作,检查了我们为分发未经未经授权修改的应用程序而制定的政策和控制措施。 从业人员在 2020 年 5 月的某个时间点通过访问我们的源代码、服务器、文档和人员来执行他们的保证工作。

独立鉴证报告可供客户使用。 根据普华永道瑞士对此类报告的标准,寻求查看报告的人必须在访问之前确认公司的条款和条件。 客户可以通过此链接登录。

普华永道瑞士不允许共享摘录,以确保不会断章取义和误解任何保证结果,因此我们不会在此博客文章中提供有关结果的详细信息。 但我们可以说我们对这个过程很满意,并鼓励客户阅读完整的报告。

让您的安全无后顾之忧

在 ExpressVPN,我们一直在寻找对您的隐私和安全的潜在威胁,并寻找降低风险的解决方案。

由受信任的第三方进行的审计,包括我们最近由 Cure53 进行的安全评估和去年普华永道瑞士对我们的隐私政策合规性和我们的内部技术 TrustedServer 的审计,对我们对客户做出的隐私和安全承诺进行了独立审查。

这些保证活动和安全评估补充了我们的其他信任和透明度工作,包括提供开源泄漏测试工具、公开详细说明我们的安全实践以及启动旨在提高公众对互联网安全意识的 VPN 信任倡议。

在 ExpressVPN,我们努力通过技术和透明度推动行业向前发展。 我们期待发布更多审计、工具和见解,使您能够让我们履行这一承诺。