Golden Observation 丨 Compartir auditoría de proyecto encriptada "productos secos"

Golden Finance Blockchain, 31 de enero  Un buen informe de auditoría de un proyecto de encriptación puede permitir a los clientes descubrir problemas potenciales y ayudarlos a resolverlos. Finalmente, puede ayudar a mejorar el proyecto o producto, para que los clientes puedan obtener un mayor valor. Sin embargo, esto debe basarse en la premisa de que el auditor cooperará con usted de manera profesional y objetiva, y ambas partes lograrán este objetivo de manera conjunta. Si los auditores siguen ciertos estándares éticos y de calidad, los clientes pueden cumplir mejor con sus expectativas y requisitos. Por lo general, lo que piden los clientes de un proyecto de encriptación no es solo encontrar un problema, sino encontrar una solución. Por lo tanto, esto requiere que los auditores proporcionen algunas sugerencias de solución para cada problema encontrado, en lugar de simplemente escribir una oración de "solucionar este problema" en una recomendación tautológica. En segundo lugar, se debe especificar el problema y, cuando sea posible, se debe proporcionar un parche. Si bien no siempre es fácil encontrar la mejor solución como auditor, trate de escribir algunas estrategias de resolución antes de discutirlas con su cliente. No solo eso, sino que las soluciones también se pueden diferenciar en arreglos a corto plazo y arreglos a largo plazo. Los arreglos a corto plazo son soluciones más simples, como agregar verificaciones de cordura adicionales o actualizar algunos esquemas de dependencia; los arreglos a largo plazo son soluciones a largo plazo que pueden requerir más trabajo o cambios en el sistema/diseño. En cuanto a las discusiones con el cliente, se aconseja a los auditores que se comuniquen activamente con el cliente, generalmente cuando preparan una declaración de trabajo o durante una reunión inicial para acordar cómo utilizar los canales de comunicación. No solo eso, es muy importante que los auditores compartan el progreso de su trabajo de auditoría con los clientes de manera regular, como qué parte del código están revisando, qué contenido no está claro o tiene información incorrecta y, al mismo tiempo, informar de inmediato. después de encontrar el problema. Ayudará a los auditores a encontrar errores temprano y permitirá a los desarrolladores implementar medidas de depuración. Golden Morning News | 14 de abril Durante la noche Actualizaciones importantes: 21:00-7:00 Palabras clave: Nueva neumonía coronaria, Aplicación de cadena de bloques, Comité técnico, USDT Emisión adicional 1. Más de 1,9 millones de casos confirmados de Nueva neumonía coronaria en todo el mundo. 2. Se anuncia la constitución del Comité Técnico Nacional de Normalización de Tecnología Blockchain y Contabilidad Distribuida. 3. Centro Nacional de Información: El vigoroso desarrollo de blockchain y otras industrias ha dado lugar a una nueva tendencia en el desarrollo de los medios en línea. 4. Diario de Información Económica: Promover la integración de la tecnología blockchain y la economía real. 5. Zona de libre comercio piloto de Shenzhen Qianhai Shekou: Promover la aplicación generalizada de blockchain y otras tecnologías. 6. Tether emitió 120 millones de USDT adicionales (autorizados pero no emitidos) a la red Ethereum. 7. El contrato de futuros de CME Bitcoin de abril cerró con una caída del 6,58%. 8. Ballena de Bitcoin: la alta volatilidad en los mercados tradicionales puede hacer que BTC baje a corto plazo. 9. Bitcoin continuó subiendo durante la noche, alcanzando un máximo de $6891,14. [2020/4/14]Por supuesto, si el informe de auditoría final no implica ningún problema de seguridad, tanto el auditor como el cliente pueden sentirse un poco avergonzados, y el cliente puede incluso pensar que el auditor no ha hecho bien el trabajo. , Mi dinero puede ser desperdiciado. Entonces, para aliviar esta preocupación, sin importar qué problemas se encuentren en el informe final o si se encuentran muchos problemas, se recomienda que primero enumere los tipos de errores que ha estado buscando y luego describa qué herramientas de auditoría. has utilizado y configura y enumera las propiedades autenticadas. Sin embargo, una cosa a tener en cuenta aquí es que los auditores a menudo exageran la magnitud del problema. Y tales decisiones de calificación a veces se toman no porque el proyecto realmente tenga problemas obvios, sino porque el proyecto simplemente "se ve" mal y avergonzaría a los auditores, o porque especulan que podría haber una laguna donde los eventos se superponen. Pero sepa que a los clientes no les importan los sentimientos personales de los auditores sobre los errores, solo necesitan un nivel de riesgo significativo y luego pueden determinar la prioridad de corregir errores, para que puedan interactuar con los usuarios. Si la vulnerabilidad es realmente grave, por ejemplo, de acuerdo con la definición del modelo de amenazas, es probable que se exploten estas vulnerabilidades y se produzcan daños graves, entonces se puede evaluar como una vulnerabilidad crítica. Recuerde, exagerar la severidad no ayudará al auditor a construir una reputación en el trabajo de auditoría. Golden Morning News | Temasek niega su participación en la salida a bolsa de Bitmain Naciones Unidas utiliza blockchain para abordar el cambio climático: 1. Se publica el primer certificado de registro de derechos de autor de blockchain del país. 2. Temasek negó oficialmente la participación en la salida a bolsa de Bitmain. 3. El gobierno de Corea del Sur lanzó un programa de capacitación de expertos en blockchain. 4. El Instituto de Asuntos Económicos de Kenia organizará debates sobre la regulación de las criptomonedas. 5. Gobernador del Banco de Japón: Japón debería desempeñar un papel de liderazgo en el campo de la innovación de la tecnología blockchain. 6. Google lanza herramientas para probar la cadena de bloques de Ethereum. 7. Naciones Unidas busca la tecnología blockchain para combatir el cambio climático. 8. Las ventas de GPU cayeron un 1,5% en el segundo trimestre debido al debilitamiento del interés minero. 9. El ex comisionado de la SEC dijo que si ICO es un valor, debe cumplir con todas las regulaciones de la SEC. [2018/9/4] Cómo escribir un informe de auditoría de alta calidad A continuación, hablemos sobre cómo escribir un informe de auditoría de alta calidad. En primer lugar, el auditor debe comprender el público objetivo de la auditoría. La auditoría debe satisfacer las necesidades de la audiencia objetivo, por lo que se deben proporcionar diferentes documentos de auditoría a diferentes audiencias, por ejemplo, si solo los desarrolladores pueden leer el informe, entonces es suficiente un documento informal de lenguaje de marcado ligero, lo que puede ahorrar tiempo de edición; Pero si el informe debe compartirse con los inversores, los auditores de cumplimiento o la alta dirección, se debe presentar un informe de auditoría elegante con colores y logotipos, junto con un resumen ejecutivo. Por lo tanto, es importante saber de antemano quién leerá el informe de auditoría, especialmente si el informe se publicará. En este caso, también se requiere un cuidado especial para evitar malas interpretaciones y referencias engañosas al contenido relevante. Transmisión de datos de Jinse Finance El valor de mercado total actual de las criptomonedas es de 2.236,6 mil millones de RMB: según los datos de AICoin, el valor de mercado total actual de las criptomonedas es de 2.236,6678 mil millones de RMB. El valor de mercado actual de Bitcoin es de 858 053 ​​800 millones de yuanes, con una facturación de 1 088 millones de yuanes en 24 horas; el valor de mercado actual de Ethereum es de 399 708 200 millones de yuanes, con una facturación de 921 millones de yuanes en 24 horas; el valor de mercado actual de Ripple es 157.5071 mil millones de yuanes, con una facturación de 24 horas de 114 millones de RMB. [2018/5/23] En segundo lugar, también es muy importante comprender los últimos desarrollos en la industria de la auditoría y hacer bien su tarea. Por ejemplo, cuáles son los últimos documentos de referencia y las últimas vulnerabilidades y estrategias de ataque, que ayudarán a los auditores a ahorrar una cantidad considerable de tiempo para mantener una lista de problemas comunes en los componentes criptográficos, así como una lista de errores comunes y defectos específicos de ciertos lenguajes de programación. Además, crear su propia herramienta de auditoría también es una práctica muy efectiva, que puede automatizar el proceso de auditoría y ahorrar tiempo. En la actualidad, existen muchas herramientas de este tipo en el mercado, por lo que los auditores pueden familiarizarse con las herramientas de auditoría relevantes antes de comenzar la auditoría. Una vez más, recuerde que un informe detallado es mejor que uno conciso. Para un auditor que está familiarizado con el ataque y la explotación de vulnerabilidades de seguridad técnica, a menudo es tentador omitir algunos detalles y esperar que el lector llene los vacíos en la descripción de la vulnerabilidad y las sugerencias de resolución, pero esto tiene cierto riesgo, porque el lector malinterpretará los problemas prácticos y luego no podrá resolverlos adecuadamente. Escribir información detallada del informe también puede ayudarlo a detectar posibles errores o malas interpretaciones en su análisis, al mismo tiempo que hace un buen uso de fuentes externas, como publicaciones de blogs, artículos de investigación o incluso repositorios de código de proyectos similares. Análisis exclusivo de Golden Finance Softbank combina sus propias ventajas de pago para expandir vigorosamente el campo de la cadena de bloques: análisis exclusivo de Golden Finance, Softbank Group de Japón y Mizuho Bank han invertido conjuntamente en una empresa de tecnología llamada J Score. El presidente de la empresa, Ryuichi Omori, dijo que explorará A nuevo método de financiación y pago mediante moneda virtual. SoftBank es un holding japonés de telecomunicaciones y medios. Sus subsidiarias están involucradas en negocios que incluyen redes de banda ancha, telefonía de línea fija, comercio electrónico, servicios de Internet, VoIP, servicios de tecnología, tenencia, finanzas, medios y marketing, etc. Como empresa de renombre mundial, Softbank también está haciendo un despliegue integral en el campo de la cadena de bloques. Hace algún tiempo, la plataforma de análisis del mercado de divisas digitales BitE anunció que recientemente adquirió el capital de Softbank China. SBI Bit, una empresa de tecnología del Softbank SBI Group de Japón, reveló que SBI Bit se está preparando para construir un cambio de moneda digital. Además, Softbank Group estableció el "Grupo de Investigación Carrier Blockchain", cuyo objetivo es mejorar los servicios de telecomunicaciones a través de la tecnología blockchain, centrándose especialmente en el pago, y realizar recargas de saldo entre diferentes operadores. Se puede ver que Softbank está utilizando blockchain para combinar sus ventajas en el negocio de pago tradicional para expandir nuevos modelos comerciales. [2018/5/8]También recuerde que cuando realice una auditoría, aunque la calidad de escritura de algún código sea terrible, no use un tono despectivo o sarcástico, sino hágalo con franqueza y honestidad. Evalúe. Del mismo modo, no se exceda cuando la calidad del código esté por encima del promedio. Sugerencias para los auditores Con el fin de reducir la carga de trabajo de los auditores, aquí se sugiere que los auditores puedan dividir las tareas de revisión de código según los diferentes componentes de la base de código, como paquetes, subcajas, etc., y luego distribuirlos entre los miembros del equipo En el trabajo , después de todo, hay muchas fortalezas. Pero este enfoque también tiene algunos problemas, es decir, una persona solo se enfoca en una línea de código determinada sin comprender completamente la interacción entre los componentes. Entonces, si desea mejorar, puede tener dos personas que auditen el mismo componente, y cada persona debe tener al menos una comprensión básica de todos los componentes que se auditan y cómo funcionan juntos. No solo eso, trabajar con dos personas también ayudará a discutir juntos la identificación de errores y la detección de errores del modelo, y no será aburrido. Informe en vivo de Jinse Finance Director del Instituto de Computación en la Nube y Big Data, Academia de Tecnología de la Información y las Comunicaciones de China: La mayoría de los que gritaron para ir al centro quieren convertirse en un nuevo centro: Informe en vivo de Jinse Finance, en la Tecnología Blockchain 2018 and Application Summit, He Baohong, director del Instituto de Investigación de Big Data y Computación en la Nube de la Academia de Tecnología de la Información y las Comunicaciones de China, dijo que no cree en las características de descentralización, inviolabilidad y anonimato de la cadena de bloques. de todos, distribuido no significa descentralización, la mayoría de los centros quieren convertirse ellos mismos en nuevos centros, por ejemplo, el 40% de los bitcoins se encuentran actualmente concentrados en manos de 1.000 personas. Anti-manipulación no significa que no se pueda modificar, y proteger la privacidad no significa anonimato. Sobre la cuestión de si la cadena de bloques está madura, He Baohong expresó su opinión: en la actualidad, en el campo de las fichas, ha madurado; en el campo panfinanciero, lo está intentando; en el campo del entretenimiento, puede ser la tendencia. Es poco probable que sea la aplicación Killer de la cadena de bloques. [2018/3/30] Cuando se trata de trabajo en equipo, también es muy importante registrar su propio trabajo. Por ejemplo, después de cada 1 o 2 horas de trabajo, haciendo un seguimiento de su propio trabajo, incluidos los archivos/funciones/mecanismos que se han analizado, luego escriba ideas o intentos de ataque fallidos y luego compártalos con el resto del equipo. Además, esta práctica es un intento de justificar el trabajo al cliente. Ahora que hemos terminado de hablar del trabajo de los auditores, hablemos de sus honorarios. Si bien generalmente se dice que el cobro se basa estrictamente en las horas trabajadas, esta no siempre es la regla, especialmente en empresas más grandes y menos especializadas. Generalmente se entiende que un "día" de trabajo es el equivalente a 8 horas de trabajo, por lo que se debe facturar a los auditores por cada jornada de 8 horas trabajadas, no por el empleado asignado al proyecto que se presentó en la oficina y trabajó un día laborable. día Cobrado por día laborable. Después de todo, a veces es necesario quemar horas entre reuniones y pausas para el café. Sugerencias a los clientes Para evaluar mejor un proyecto de encriptación, es importante elegir un buen auditor Para los clientes, también es muy importante determinar los requisitos de auditoría y comunicarse con los auditores. Es mejor que el cliente explique en detalle lo que esto significa desde la perspectiva del proyecto, por ejemplo, si le preocupan más los errores de codificación, si le preocupa la falta de coincidencia entre el código y las especificaciones, si le preocupan los errores de diseño. , etc. En segundo lugar, el cliente debe informar al auditor dónde enfocar la auditoría y cuáles consideran que son los mayores riesgos, y luego describir estos problemas en el contexto del modelo de amenazas y el modelo operativo. Recuerde compartir tanta información como pueda y no confíe en la frase "el código es suficiente para explicar la documentación", especialmente cuando se trata de protocolos de encriptación complejos. Incluso si el código describe claramente el trabajo realizado, no puede describir con precisión las medidas de seguridad que deben tomarse, y mucho menos el modelo contradictorio y las propiedades de seguridad del objetivo. Por lo tanto, es muy importante tener documentos de explicación detallados y compartir todos los documentos de diseño, trabajos de investigación relevantes, informes de revisión anteriores con los revisores. Esto no solo les ahorra tiempo a los auditores, sino que también les ayuda a dominar todos los aspectos del sistema que se audita.      Es tentador pensar en un informe de auditoría como una aprobación de un proyecto, pero puede ser muy desagradable recibir un informe de auditoría que encuentre una gran cantidad de problemas en el trabajo. Una cosa que se debe entender aquí es que es poco probable que la auditoría apruebe incondicionalmente el producto, porque esto puede generar dudas sobre el posible conflicto de intereses del auditor. Además, la auditoría es solo una revisión puntual y el objetivo de la auditoría es descubrir problemas potenciales, de modo que pueda ayudar a los clientes a resolver estos problemas y mejorar la postura de seguridad del objetivo de la auditoría. El resultado de la auditoría debe ayudar a mejorar el proyecto o producto, y conseguir este objetivo con el esfuerzo conjunto del cliente y del auditor. Por supuesto, como cliente, aún debe considerar la tarifa de auditoría. Se recomienda que el cliente acuerde el contenido del informe por adelantado, por ejemplo, cuando solo necesita una descripción informal de los problemas de seguridad en el informe de auditoría, es posible que no desee pagar por un trabajo que solo toma 3 días para completarse. especialmente si este trabajo solo puede ser Simplemente escriba la especificación. Por lo tanto, refleje exactamente qué esperar de un informe de auditoría y qué no desea ver en su declaración de trabajo o reunión inicial. En segundo lugar, el cliente debe revisar la carga de trabajo y no dejarse llevar por la nariz por la empresa de auditoría. Para un proyecto con solo 500 líneas de código, sería ridículo que la empresa de auditoría propusiera que se necesitarían 5 personas por semana. En este momento, el cliente puede comunicar directamente a los auditores los problemas que ha encontrado sin dudarlo, o directamente cambiar a otra empresa auditora. Además, en comparación con los desarrolladores que dedican mucho tiempo (como 6 meses) al desarrollo del proyecto, los auditores deben tener una falta de comprensión del código base, por lo que los clientes deben confirmar el plan de auditoría y las medidas de implementación, y ayudar a auditar. La gente conoce el código base lo suficientemente bien, después de todo, si no entienden lo que hace el código del proyecto, es menos probable que encuentren errores en él.

Tags：

Binance Exchange App