Golden Observation 丨 Partage d'audit de projet crypté "marchandises sèches"

Golden Finance Blockchain, 31 janvier  Un bon rapport d'audit de projet de chiffrement peut permettre aux clients de découvrir des problèmes potentiels et les aider à résoudre ces problèmes. Enfin, il peut aider le projet ou le produit à être amélioré, afin que les clients puissent obtenir une plus grande valeur. Cependant, cela devrait être basé sur la prémisse que l'auditeur coopérera avec vous de manière professionnelle et objective, et que les deux parties atteindront conjointement cet objectif. Si les auditeurs respectent certaines normes de qualité et d'éthique, les clients peuvent mieux répondre à leurs attentes et exigences. Habituellement, ce que les clients demandent pour un projet de chiffrement n'est pas seulement de trouver un problème, mais de trouver une solution. Par conséquent, cela oblige les auditeurs à fournir des suggestions de solutions d'accompagnement pour chaque problème trouvé, au lieu d'écrire simplement une phrase de « résoudre ce problème » dans une recommandation tautologique. Deuxièmement, le problème doit être spécifié et, si possible, un correctif doit être fourni. Bien qu'il ne soit pas toujours facile de trouver la meilleure solution en tant qu'auditeur, essayez de noter quelques stratégies de résolution avant d'en discuter avec votre client. Non seulement cela, mais les solutions peuvent également être différenciées en solutions à court terme et solutions à long terme. Les correctifs à court terme sont des solutions plus simples, telles que l'ajout de contrôles d'intégrité supplémentaires ou la mise à jour de certains schémas de dépendance ; les correctifs à long terme sont des solutions à plus long terme qui peuvent nécessiter plus de travail ou des modifications du système/de la conception. En se référant aux discussions avec le client, il est conseillé aux auditeurs de communiquer activement avec le client, généralement lors de la préparation d'un énoncé de travail ou lors d'une réunion de lancement pour convenir de la manière d'utiliser les canaux de communication. De plus, il est très important pour les auditeurs de partager régulièrement l'avancement de leur travail d'audit avec les clients, par exemple quelle partie du code ils examinent, quel contenu n'est pas clair ou contient des informations erronées, et en même temps de signaler immédiatement après avoir trouvé le problème. Cela aidera les auditeurs à trouver les bogues plus tôt et permettra aux développeurs de mettre en œuvre des mesures de débogage. Diffusion des données minières de Jinse Finance : la puissance de calcul du réseau de BTC a augmenté de 2,44 % aujourd'hui : Jinse Finance a rapporté que, selon les données de Spider Mining Pool : la puissance de calcul totale du réseau de BTC est de 149,924EH/s, la difficulté de minage est de 18,60 T et le bloc actuel hauteur est de 664558. Le revenu théorique est de 0,00000744/T/jour. La puissance de calcul du réseau ETH est de 304,543TH/s, la difficulté de minage est de 3906,02T, la hauteur de bloc actuelle est de 11591686 et le revenu théorique est de 0,01093891/100MH/jour. La puissance de calcul de l'ensemble du réseau de BSV est de 0,638EH/s, la difficulté de minage est de 0,09T, la hauteur de bloc actuelle est de 668597 et le revenu théorique est de 0,00141120/T/jour. La puissance de calcul du réseau BCH est de 1,674EH/s, la difficulté de minage est de 0,23, la hauteur de bloc actuelle est de 668913 et le revenu théorique est de 0,00053747/T/jour. [2021/1/5 16:27:18] Bien sûr, si un problème de sécurité n'est pas couvert dans le rapport d'audit final, l'auditeur et le client peuvent se sentir un peu gênés, et le client peut même penser que l'auditeur peut Ne faites pas bien le travail et votre argent pourrait être gaspillé. Ainsi, afin d'atténuer cette inquiétude, quels que soient les problèmes détectés dans le rapport final ou de nombreux problèmes, il est recommandé que vous puissiez d'abord répertorier les types d'erreurs que vous recherchiez, puis décrire les outils d'audit. vous avez utilisé et Il configure et énumère les propriétés authentifiées. Golden Evening News | Liste des développements importants dans la soirée du 2 novembre : 12h00-21h00 Mots-clés : Autorité de surveillance financière, Monnaie numérique, Caïman, Autorité monétaire de Hong Kong La norme est officiellement publiée. 2. Bureau de surveillance financière de Pékin : Promouvoir activement les paiements transfrontaliers en monnaie numérique et d'autres scénarios dans la zone aéroportuaire. 3. Gouverneur de la banque centrale Yi Gang : La monnaie numérique en est encore à ses balbutiements et le cadre juridique doit être amélioré. 4. Huit "porteurs de transfert" ont été poursuivis pour avoir transféré plus de 15 millions de yuans en monnaie virtuelle. 5. Les îles Caïmans établissent un cadre réglementaire pour les « fournisseurs de services d'actifs virtuels » (VASP). 6. En octobre, Tether a récemment imprimé de l'argent équivalant à environ 4,42 milliards USDT. 7. Autorité monétaire de Hong Kong : le projet de monnaie numérique étudié conjointement avec la Banque centrale de Thaïlande est entré dans sa deuxième phase. 8. Xing Yujing, la banque centrale : L'enveloppe rouge du renminbi numérique jette les bases d'une recherche et d'un développement plus approfondis et plus larges du renminbi numérique. [2020/11/2 11:27:47] Cependant, une chose à noter ici est que les auditeurs exagèrent souvent la gravité du problème. Et de telles décisions de notation sont parfois prises non pas parce que le projet a vraiment des problèmes évidents, mais parce que le projet "semble" mauvais et embarrasserait les auditeurs, ou parce qu'ils spéculent qu'il pourrait y avoir une faille là où les événements se chevauchent. Mais sachez que les clients ne se soucient pas des sentiments personnels des auditeurs à propos des bogues, ils ont juste besoin d'un niveau de risque significatif, puis ils peuvent déterminer la priorité de la correction des bogues, afin qu'ils puissent interagir avec les utilisateurs. Si la vulnérabilité est vraiment grave, par exemple, selon la définition du modèle de menace, ces vulnérabilités sont susceptibles d'être exploitées et qu'il y a un préjudice grave, alors elle peut être évaluée comme une vulnérabilité critique. N'oubliez pas qu'exagérer la sévérité n'aidera pas l'auditeur à se forger une réputation dans le travail d'audit. Analyse | Disque d'or : les fonds hors marché entrent sur le marché et le marché des devises numériques rebondit : analyse complète du disque d'or : la CTB a commencé à tester la zone de forte pression de 6 600 à 6 800 à la hausse, et le marché s'est inversé dans une panique extrême. quelques jours, certains altcoins ont augmenté Doublé, la valeur marchande totale de la monnaie numérique est passée de 201,8 milliards le 16 à 222,6 milliards actuellement.Les données montrent qu'un grand nombre de fonds hors marché sont entrés sur le marché.Les 20 principales devises dans la valeur marchande augmentent généralement de plus de 10 % en 24 heures, et l'augmentation de NEO atteint 27,88 %. , CTXC a augmenté de plus de 80 % en une seule journée, et ONT, SOC, etc. ont également augmenté de manière significative. Bien que le marché ait a commencé à survendre et à rebondir, il manque de valeur commerciale, et les cibles non reconnues par les fonds traditionnels finiront par revenir à zéro.Il faut donc apprendre à discriminer et ne pas être le dernier à prendre le relais. [2018/8/18] Comment rédiger un rapport d'audit de haute qualité Ensuite, parlons de la façon de rédiger un rapport d'audit de haute qualité. Tout d'abord, l'auditeur doit comprendre le public cible de l'audit. L'audit doit répondre aux besoins du public cible, de sorte que différents documents d'audit doivent être fournis à différents publics, par exemple, si seuls les développeurs peuvent lire le rapport, un document informel en langage de balisage léger suffit, ce qui peut économiser du temps d'édition ; Mais si le rapport doit être partagé avec des investisseurs, des auditeurs de conformité ou la haute direction, un rapport d'audit sophistiqué avec des couleurs et des logos doit être présenté, ainsi qu'un résumé analytique. Par conséquent, il est important de savoir à l'avance qui lira le rapport d'audit, en particulier si le rapport sera publié. Dans ce cas, une attention particulière est également requise pour éviter les interprétations erronées et les références trompeuses au contenu pertinent. Analyse | Disque d'or : les haussiers BTC/USDT obtiennent un répit temporaire : les analystes du disque d'or ont déclaré : BTC/USDT a complètement reculé sous l'attaque des ours et est actuellement soutenu temporairement sur la piste inférieure du canal descendant. Le 2- heure MACD diverge pendant une heure, et les haussiers s'appuient actuellement sur le bas Le canal ascendant et la ligne dorée à 6998 construisent une ligne de défense, et le DMI de 6 heures dévie, mais l'effet de la contre-attaque des haussiers doit être encore observé. [2018/8/5] Deuxièmement, il est également très important de comprendre les derniers développements dans le secteur de l'audit et de bien faire vos devoirs. Par exemple, quels sont les derniers documents de référence et les dernières vulnérabilités et stratégies d'attaque, qui permettront aux auditeurs de gagner un temps considérable pour maintenir une liste des problèmes courants dans les composants cryptographiques, ainsi qu'une liste des erreurs et défauts courants spécifiques à certains langages de programmation. De plus, créer votre propre outil d'audit est également une pratique très efficace, qui peut automatiser le processus d'audit et gagner du temps. À l'heure actuelle, il existe de nombreux outils de ce type sur le marché, de sorte que les auditeurs peuvent se familiariser avec les outils d'audit pertinents avant de commencer l'audit. Encore une fois, rappelez-vous qu'un rapport détaillé vaut mieux qu'un rapport concis. Pour un auditeur familiarisé avec l'attaque et l'exploitation des vulnérabilités techniques de sécurité, il est souvent tentant de sauter certains détails et d'attendre du lecteur qu'il comble les lacunes dans la description de la vulnérabilité et les suggestions de résolution, mais cela comporte un certain risque, car le lecteur comprendra mal les problèmes pratiques, puis ne pourra pas être correctement résolu. La rédaction d'informations de rapport détaillées peut également vous aider à repérer les erreurs potentielles ou les mauvaises interprétations dans votre analyse, tout en faisant bon usage de sources externes telles que des articles de blog, des articles de recherche ou même des référentiels de code de projets similaires. Rapport en direct de Jinse Finance Wu You, partenaire fondateur de Mirror Lake Capital : L'ère de la blockchain n'a pas besoin d'être grande : rapport en direct de Jinse Finance, lors du Forum du Sommet de la Blockchain de Chine 2018 sur le forum de la table ronde de "quelle attitude adopter la blockchain" , Mirror Wu You, partenaire fondateur de Lake Capital, a déclaré: "L'ère de la blockchain n'a pas besoin d'être géniale. À l'époque précédente, j'étais juste moi, et si vous ne m'applaudissiez pas, je me mettrais en colère. Dans l'ère de la blockchain, je ne suis qu'une petite fleur sans nom." "[2018/5/20] Rappelez-vous également, lorsque vous faites un audit, n'utilisez pas un ton péjoratif ou sarcastique, mais soyez franc et honnête pour évaluer. De même, n'en faites pas trop lorsque la qualité du code est supérieure à la moyenne. Suggestions pour les auditeurs Afin de réduire la charge de travail des auditeurs, voici une suggestion selon laquelle les auditeurs peuvent diviser les tâches de revue de code en fonction des différents composants de la base de code, tels que les packages, les sous-coffrets, etc., puis les répartir entre les membres de l'équipe. , après tout, il y a beaucoup de points forts. Mais cette approche présente également quelques problèmes, c'est-à-dire qu'une personne se concentre uniquement sur une ligne de code donnée sans comprendre pleinement l'interaction entre les composants. Donc, si vous voulez aller mieux, vous pouvez en fait demander à deux personnes d'auditer le même composant, et chaque personne doit avoir au moins une compréhension de base de tous les composants audités et de la manière dont ils fonctionnent ensemble. De plus, travailler avec deux personnes aidera également à discuter ensemble de l'identification des erreurs et de la détection des erreurs de modèle, et ce ne sera pas ennuyeux. En matière de travail d'équipe, il est également important de documenter votre propre travail. Par exemple, toutes les 1 ou 2 heures de travail, en suivant votre propre travail, y compris les fichiers/fonctions/mécanismes qui ont été analysés, puis notez les idées ou les tentatives d'attaque ratées, puis partagez-les avec le reste de l'équipe. De plus, cette pratique est une tentative de justifier le travail auprès du client. Maintenant que nous avons fini de parler du travail des vérificateurs, parlons de leurs honoraires. S'il est généralement admis que la facturation est strictement basée sur les heures travaillées, ce n'est pas toujours la règle, en particulier dans les entreprises plus grandes et moins spécialisées. Une "journée" de travail est généralement comprise comme l'équivalent de 8 heures de travail, par conséquent, les auditeurs doivent être facturés pour chaque journée de 8 heures travaillées, et non pour l'employé affecté au projet qui s'est présenté au bureau et a travaillé un travail jour Facturation par jour ouvrable. Après tout, il faut parfois passer des heures entre les réunions et les pauses-café. Suggestions aux clients Afin de mieux évaluer un projet de chiffrement, il est important de choisir un bon auditeur.Pour les clients, il est également très important de déterminer les exigences d'audit et de communiquer avec les auditeurs. Il est préférable que le client explique en détail ce que cela signifie du point de vue du projet, par exemple s'il s'inquiète le plus des erreurs de codage ; s'il s'inquiète de l'inadéquation entre le code et les spécifications ; s'il s'inquiète des erreurs de conception , etc. Deuxièmement, le client doit faire savoir à l'auditeur où concentrer l'audit et ce qu'il considère comme les plus grands risques, puis décrire ces problèmes dans le contexte du modèle de menace et du modèle opérationnel. N'oubliez pas de partager autant d'informations que possible et ne vous fiez pas à l'expression "le code suffit à expliquer la documentation", en particulier lorsqu'il s'agit de protocoles de chiffrement complexes. Même si le code décrit clairement le travail effectué, il ne peut pas décrire avec précision les mesures de sécurité à prendre, sans parler du modèle contradictoire et des propriétés de sécurité ciblées. Par conséquent, il est très important d'avoir des documents d'explication détaillés et de partager tous les documents de conception, les documents de recherche pertinents, les rapports d'examen précédents avec les examinateurs. Cela fait non seulement gagner du temps aux auditeurs, mais les aide également à maîtriser tous les aspects du système audité.     Il est tentant de considérer un rapport d'audit comme une approbation d'un projet, mais il peut être très désagréable de recevoir un rapport d'audit qui trouve un grand nombre de problèmes au travail. Une chose à comprendre ici est qu'il est peu probable que l'audit approuve inconditionnellement le produit, car cela peut soulever des questions sur le conflit d'intérêts potentiel de l'auditeur. De plus, l'audit n'est qu'un examen ponctuel, et l'objectif de l'audit est de découvrir les problèmes potentiels, afin qu'il puisse aider les clients à résoudre ces problèmes et à améliorer la posture de sécurité de la cible de l'audit. Le résultat de l'audit doit permettre d'améliorer le projet ou le produit et d'atteindre cet objectif grâce aux efforts conjoints du client et de l'auditeur. Bien sûr, en tant que client, vous devez toujours tenir compte des frais d'audit. Il est recommandé que le client s'accorde à l'avance sur le contenu du rapport, par exemple, lorsque vous n'avez besoin que d'une description informelle des problèmes de sécurité dans le rapport d'audit, vous ne voudrez peut-être pas payer pour un travail qui ne prend que 3 jours à compléter, surtout si ce travail ne peut être qu'une simple rédaction du cahier des charges. Réfléchissez donc exactement à ce que vous attendez d'un rapport d'audit et à ce que vous ne voulez pas voir dans votre énoncé de travail ou votre réunion de lancement. Deuxièmement, le client doit revoir la charge de travail et ne pas se laisser guider par la société d'audit. Pour un projet avec seulement 500 lignes de code, il serait ridicule que la société d'audit propose de prendre 5 personnes/semaine. À ce moment, le client peut dire directement aux auditeurs les problèmes qu'ils ont trouvés sans hésitation, ou passer directement à une autre société d'audit. De plus, par rapport aux développeurs qui consacrent beaucoup de temps (par exemple 6 mois) au développement de projets, les auditeurs doivent avoir une mauvaise compréhension de la base de code, de sorte que les clients doivent confirmer le plan d'audit et les mesures de mise en œuvre, et aider à l'audit Les gens connaissent assez bien la base de code, après tout, s'ils ne comprennent pas ce que fait le code du projet, ils sont moins susceptibles d'y trouver des bogues. Un autre conseil ici, si vous n'avez pas nécessairement besoin d'un rapport d'audit, vous pouvez demander les résultats du rapport d'audit au développeur uniquement de manière informelle via IRC, Slack, Signal ou d'autres plateformes. Si vous avez besoin d'un rapport complet avec toutes les conclusions à classer, mais que vous n'avez pas besoin d'un document super formel et raffiné, les auditeurs n'ont pas à passer trop de temps à préparer le rapport, et cela peut économiser les frais de consultation du client. . Un dernier rappel aux clients est que les lots de travail en surréservation doivent être traités avec soin. Certains cabinets d'audit peuvent promouvoir et vendre certains "travaux supplémentaires", tels que : "Modélisation des menaces", "Renforcement de la sécurité", "Optimisation des performances", ou d'autres sous-projets plus ou moins connexes ou similaires, ce qui augmentera vos honoraires de conseil. . Par conséquent, la partie A et la partie B doivent comprendre clairement à l'avance le contenu et les objectifs du travail d'audit, ainsi que la valeur que le travail d'audit apportera au client

Tags：

Échange Bitcoin