imToken 创始人兼 CEO 何斌表示:
区块链天生开放,希望开源能够降低门槛,吸引更多的开发者和公司能够利用这套核心代码,找到更多落地的应用场景,加入 imToken 2.0 的去中心化生态。随着 imToken 用户的增加,我们需要不断打磨、完善、增强。imToken 非常欢迎社区的伙伴和行业伙伴能够参与共同探讨、交流,一起参与共建,打造区块链行业的安全标准和最佳实践生态。
imToken 为开源准备了将近半年的时间,除了进行多轮的内部审计外,还与知名安全公司慢雾、Cure53(帮助 Metamask 等知名桌面钱包审计代码)共同完成安全审计工作。
这封公开信也宣布了 imToken 的漏洞奖励计划:任何安全从业者或用户如果发现了 imToken 的漏洞,可以通过漏洞平台或邮件的方式反馈给 imToken 官方,imToken 会给予丰厚的奖励;除此以外,imToken 将入驻更多的像Hackerone这样世界级安全平台。
区块链天生开放,开源也是一直以来区块链社区提倡的行为和精神。钱包产品真正关乎用户资产安全,尽管imToken一直以来以专业度获得了极大的公信力,但也有人质疑其代码尚未开源。现在,imToken将核心代码开源,任何安全从业者和用户都可以检查其代码本身是否存在漏洞,极大提升钱包产品本身的公信力,同时,imToken代码经过多年来数百万用户实际检验,其代码开源也为更多希望做出优质钱包产品的团队提供了标准和参考。
有关开源,imToken向我们科普了这些问题:
Q:是闭源安全还是开源安全?
imToken:从长远上来讲,开源会使得产品更加安全,有更多的安全从业者和技术爱好者来关注 imToken,研究并发现报告漏洞,是提高安全等级最快速的方式之一。
Q:针对开源带来的安全隐患,做了哪些防护措施?
imToken: 1. 安全审计:imToken 从内部及合作伙伴各方面进行了多轮的源码审计及灰盒审计,如与知名安全公司慢雾、cure53 等达成合作,在开源前进行了完善的安全审计工作; 2. 漏洞奖励计划:安全从业者或用户如果发现了 imToken 的漏洞,可以通过漏洞平台(如慢雾区等)或邮件的方式反馈给 imToken 官方,imToken 会给予丰厚的奖励; 3. imToken 也会入驻更多的安全平台,来加强与安全从业者的沟通及奖励。
Q:为什么这次开源是部分开源?
imToken:本次开源的是 imToken 2.0 所有原生代码,包含了账户身份创建、密钥管理及存储等 所有核心源码,未开源的是使用 React Native 写的界面层,这方面只是一套界面样式实现,而且是 imToken 独有的界面形象内容,故没有选择开源。
其次,界面之所以没有开源,是因为界面代码主要是业务代码,会根据业务的快速发展而快速演进,未来我们将开源更多与具体业务无紧密关系的源代码。