云币太美：关于安全随便说点

　　第一次写长微博，希望能消除一些误解 :)

　　为什么我说Sakurity的报告实际上说的是Peatio而不是云币呢

　　这个星球上不会有100%安全的代码。即使有100%安全的代码，也没有100%安全的环境，Ken Thompson大神的编译器就是很好的例子。想当年Bell实验室的所有代码被Ken大神黑了个遍，大家都百撕不得骑姐，不可能啊，老子写一行printf()你都能黑 什么情况 最后Ken大神得意洋洋的跳出来说，你们想想用的编译器谁写的 于是恍然大悟，原来大家用的都是Ken写的编译器，无良的在编译的时候无条件插入后门，管你写的什么代码 这段经历还被Ken大神总结成了一篇Turing Award的感言，标题就叫, 有兴趣请戳: http://cm.bell-labs.com/who/ken/trust.html

　　既然代码不可能100%安全，如果一个交易所的安全仅仅依赖于代码的安全，这个交易所必然是不安全的。何况现在还有社会工程学，代码100%安全也没用，别人直接绕过去了。因此云币的安全团队从一开始就是基于代码不安全的假设出发，设计出了一套完整的安全系统，来保证用户的资金安全。不仅在运营的各个环节时刻保持安全意识，同时在监控报警上下了许多工夫。

　　所以我一开始说Sakurity的报告实际上是针对Peatio的，因为交易所不仅仅是一套代码，还包括了运营，运维等等各个环节。由于有了许多额外的保护层，即使代码中偶尔有漏洞，这些问题实际上也是不会渗透直至造成用户损失的。Sakurity审计的仅仅是代码一层，而不是这一整个系统。报告中获取admin帐号进行操作的一步，实际上是不可能的。

　　但这并不代表代码的安全性不重要，正因为重要，云币才会在安全上持续投入资金和时间，建立了长久的赏金机制，不停寻求和白帽子的合作。也正是因为云币的安全是一整个系统来保证的，我们才有信心这么去做。

　　而Peatio作为一个开源项目，又天然的吸引了世界各地的众多程序员对他的代码做审查。借用Linus的一句话: "given enough eyeballs, all bugs are shallow". 而实际的效果，还是让Sakurity来发言吧: "we conducted a security audit of peatio. The report will be public in a week. In general: it's much more secure than the rest of exchangers and code quality is higher." 出处请戳: https://bitcointalk.org/index.php topic=903246.msg9984633#msg9984633

—-

文章来源：http://www.weibo.com/p/1001603798167526237394

编译者/作者：云币太美

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。