Аудиты и код
Вот наша позиция по аудиту, изложенная прямо. Мы предпочли бы вложить наш бюджет и внимание в архитектуру, которую вы можете проверить, а не в сертификат.
Был ли код Ownbit проаудирован?
- Ownbit не заказывал отдельный коммерческий (платный) аудит и не планирует.
- Кодовая база зрело работает в продакшене годами.
- Она прошла проверку безопасности с несколькими ведущими ИИ-моделями.
- Ончейн-контракты мультиподписи публичны для проверки любым по адресу github.com/bitbill/ownbit-multisig-contracts.
Что мы не заявляем: ISO 27001, SOC 2 или сторонние аудиты от таких фирм, как CertiK, SlowMist или Trail of Bits; заказанные клиентами аудиты под NDA; или воспроизводимые сборки. Мы предпочитаем быть честными о том, что существует, а не намекать на сертификат, которого у нас нет.
Почему клиент с закрытым исходным кодом
Сохранение закрытости клиентского приложения — это осознанное проектное решение. Неясность повышает стоимость атаки на него, и — что критически важно — ваши средства никогда не зависят от секретности клиента. Безопасность держится на открытых криптографических стандартах и публичных ончейн-контрактах, которые вы можете проверить независимо, а не на сохранении клиента в секрете.
Что действительно открыто и проверяемо
- Ончейн-контракты мультиподписи, управляющие средствами — открытый исходный код, и вы можете подтвердить, что контракт по вашему адресу совпадает с ними, в обозревателе блоков.
- Кодировка QR-подписи — опубликована по адресу bb_sign_encoding.txt, чтобы вы могли декодировать любой QR подписания в открытый текст.
- Соответствие стандартам — импортируйте стандартный сид и подтвердите, что Ownbit выводит те же адреса (BIP32/39/44).
Часто задаваемые вопросы
Проходил ли Ownbit аудит безопасности?
Не платный коммерческий аудит, и он не планируется. Вместо этого: годы зрелой эксплуатации в продакшене, проверка безопасности с несколькими ведущими ИИ-моделями и публичные ончейн-контракты мультиподписи, которые любой может проверить.
Является ли Ownbit программой с открытым исходным кодом?
Ончейн-контракты мультиподписи имеют открытый исходный код. Клиентское приложение намеренно закрыто — проектное решение, повышающее стоимость атаки, тогда как безопасность ваших средств держится на открытых стандартах и публичных контрактах, а не на секретности клиента.
Почему бы просто не получить аудит от CertiK или SlowMist?
Мы предпочли бы вложить бюджет и внимание в архитектуру, которую вы можете проверить сами, а не в платный сертификат. Мы не заявляем о каком-либо стороннем аудите.
Обновлено:
Скачать Ownbit
Установите приложение и настройте холодный кошелёк или мультиподпись под нужный вам сценарий.