Yishi|2026年02月07日 16:21
伪开源、真开源、开源且可复现、持续交叉审计,是四个不同层级的概念。
声称开源,但在 GitHub 上找不到公开仓库,或只开源部分 SDK 的,是伪开源。
所有软件与固件代码完整开源,且开发者持续在同一仓库提交 commit,任何改动都可追踪、可见的,是真开源。
在真开源基础上,任何人都能拉取代码,在本地构建出与官方完全一致的版本,连签名哈希值都一致,是可复现(reproducible)。
每次重大版本迭代,持续多年都能提供至少两家独立审计报告,是持续交叉审计。
- 交易是否能在设备上验证并确认,NFC 卡片钱包显然不行?
- 源代码是否公开可用?
- 反编译后的二进制是否清晰可读?
- 私钥是否真的是离线生成?
- 私钥生成是否使用真正的 TRNG 随机数,是否存在被碰撞的风险?
在购买任何硬件钱包之前,不断地问这些问题,直到你找到真正的答案。(Yishi)
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接