DuRT 安全指南文档

版本：1.0
适用产品：DuRT for macOS (v2.1.0+)

一、安全架构设计原则

1. 隐私优先（Privacy by Design）
   • 所有语音数据处理均在本地完成，无云端传输。
   • 系统服务权限遵循最小化原则（仅需麦克风、辅助功能权限）。
2. 数据生命周期控制
   • 语音输入数据在内存中实时处理，完成后立即销毁，不持久化存储。
   • 翻译结果仅缓存在当前会话内存中，退出应用后自动清除。
3. 安全沙箱（Sandbox）机制
   • 应用严格遵循 Apple App Sandbox 规范（Profile v2.0）。
   • 文件系统访问限制于 ~/Library/Application Support/com.durt.app 目录。

二、关键技术选型与版本

三、安全实施步骤

1. 安装与权限配置

• 步骤1：应用来源验证
  • 仅通过 Mac App Store 安装（签名证书：Developer ID Application: Durt LLC）。
  • 安装后使用命令验证签名：
    复制

    codesign -dv --verbose=4 /Applications/DuRT.app

• 步骤2：最小权限授予
  • 首次启动时按需授权：
    • 麦克风权限：仅用于实时语音输入。
    • 辅助功能权限：仅用于悬浮框内容绘制（需用户手动开启）。

2. 运行时安全控制

• 语音数据流保护：
  复制

  // 使用SecureEnclave生成临时会话密钥  
  let key = SymmetricKey(size: .bits256)  
  let encryptedAudio = AES.GCM.seal(audioBuffer, using: key)  

• 模型加载验证：
  复制

  let compiledModelURL = try MLModel.compileModel(at: modelPath)  
  let model = try MLModel(contentsOf: compiledModelURL, configuration: .init())  
  // 验证模型签名  
  guard model.modelDescription.signatureHash == expectedHash else { throw SecurityError.invalidModel }  

3. 隐私保护措施

• 悬浮框内容防护：
  • 启用 NSScreen.isScreenLocked 监听，锁屏时自动清空悬浮框内容。
  • 支持快捷键 Cmd+Shift+H 一键隐藏敏感翻译结果。
• 无痕模式：
  • 设置中开启“不保留历史记录”，退出时清除所有会话缓存。

4. 安全审计与日志

• 日志规范：
  • 使用 os_log 写入系统日志（级别 OS_LOG_TYPE_DEFAULT），禁止记录语音内容。
  • 日志格式：[Security] [事件类型] [时间戳] [结果代码]
    复制

    Example: [Security] [ModelLoad] 2023-10-05T14:30:00Z SUCCESS  

• 审计工具：
  • 内置 SecurityDiagnosticsTool（通过终端启动：durt --security-check），检测权限配置与文件完整性。

四、应急响应与升级

1. 漏洞上报渠道：
   • 邮箱：security@durt.com (PGP Key ID: 0x1A2B3C4D)
   • 响应时间：≤ 48 小时（符合 ISO/IEC 29147 标准）。
2. 安全更新策略：
   • 关键漏洞通过 App Store 静默推送热更新（≤72小时覆盖）。
   • 模型更新使用差分签名（Binary Delta + EdDSA 签名）。

五、用户最佳实践

1. 系统环境要求：
   • macOS Ventura 13.5+（启用系统完整性保护 SIP）。
   • 定期更新 DuRT（启用 App Store 自动更新）。
2. 高风险操作规避：
   • 禁止使用第三方插件修改应用行为。
   • 不在共享屏幕时展示含敏感信息的悬浮框。

文档修订记录

• 2023-10-05 v1.0：初始发布
• 符合标准：NIST SP 800-53 (隐私控制)、OWASP MASVS-L1

安全声明：DuRT 的设计确保用户语音数据永不离开设备，并通过 Apple 平台安全机制提供端到端防护。