Yishi
Yishi|2026年02月07日 16:21
伪开源、真开源、开源且可复现、持续交叉审计,是四个不同层级的概念。 声称开源,但在 GitHub 上找不到公开仓库,或只开源部分 SDK 的,是伪开源。 所有软件与固件代码完整开源,且开发者持续在同一仓库提交 commit,任何改动都可追踪、可见的,是真开源。 在真开源基础上,任何人都能拉取代码,在本地构建出与官方完全一致的版本,连签名哈希值都一致,是可复现(reproducible)。 每次重大版本迭代,持续多年都能提供至少两家独立审计报告,是持续交叉审计。 - 交易是否能在设备上验证并确认,NFC 卡片钱包显然不行? - 源代码是否公开可用? - 反编译后的二进制是否清晰可读? - 私钥是否真的是离线生成? - 私钥生成是否使用真正的 TRNG 随机数,是否存在被碰撞的风险? 在购买任何硬件钱包之前,不断地问这些问题,直到你找到真正的答案。(Yishi)
+5
曾提及
分享至:

脈絡

熱門快訊

APP下載

X

Telegram

Facebook

Reddit

複製鏈接

熱門閱讀