Golden Observation 丨 Compartir auditoría de proyecto encriptada "productos secos"

Golden Finance Blockchain News, 31 de enero  Un buen informe de auditoría sobre proyectos de encriptación puede permitir a los clientes descubrir problemas potenciales y ayudarlos a resolverlos y, finalmente, puede ayudar a mejorar el proyecto o producto, para que los clientes puedan obtener un mayor valor. Sin embargo, esto se basa en la premisa de que el auditor cooperará con usted de manera profesional y objetiva, y ambas partes lograrán este objetivo de manera conjunta. Los clientes pueden cumplir mejor con sus expectativas y requisitos si los auditores se adhieren a ciertos estándares éticos y de calidad.

A menudo, lo que los clientes piden de un proyecto criptográfico no es solo encontrar un problema, sino encontrar una solución. Por lo tanto, esto requiere que los auditores proporcionen algunas recomendaciones de solución adjuntas para cada problema encontrado, en lugar de simplemente escribir "solucionar este problema" en una recomendación tautológica. En segundo lugar, se debe especificar el problema y, cuando sea posible, se debe proporcionar un parche. Si bien no siempre es fácil como auditor encontrar la mejor solución, intente escribir algunas estrategias de resolución antes de discutirlas con su cliente. No solo eso, sino que las soluciones se pueden diferenciar en arreglos a corto plazo y arreglos a largo plazo. Las correcciones a corto plazo son soluciones simples, como agregar verificaciones de cordura adicionales o actualizar algunos esquemas de dependencia, mientras que las correcciones a largo plazo requieren mucho tiempo y pueden requerir más trabajo o cambios en el sistema/diseño.

Hablando de conversaciones con el cliente, se aconseja a los auditores que participen activamente con el cliente, generalmente cuando preparan una declaración de trabajo o durante una reunión inicial para acordar cómo utilizar los canales de comunicación. No solo eso, es muy importante que los auditores compartan regularmente el progreso de su trabajo de auditoría con los clientes, como qué parte del código están revisando, qué contenido no está claro o tiene información incorrecta, y al mismo tiempo informar inmediatamente después de encontrar el problema, que ayudará a los auditores a encontrar errores temprano y permitirá a los desarrolladores implementar medidas de depuración.

Por supuesto, si algún tema de seguridad no está cubierto en el informe final de auditoría, tanto el auditor como el cliente pueden sentirse un poco avergonzados, y el cliente puede incluso pensar que el auditor puede no haber hecho un buen trabajo y que su dinero puede estar desperdiciado. . Entonces, para aliviar esta preocupación, sin importar qué problemas se encuentren en el informe final o si se encuentran muchos problemas, se recomienda que primero enumere los tipos de errores que ha estado buscando y luego describa qué herramientas de auditoría. ha utilizado y su configuración, y enumera las propiedades autenticadas.

Sin embargo, una cosa a tener en cuenta aquí es que los auditores a menudo exageran la magnitud del problema. Y tales decisiones de calificación a veces se toman no porque el proyecto realmente tenga problemas obvios, sino porque el proyecto simplemente "se ve" mal y avergonzaría a los auditores, o porque especulan que podría haber una laguna donde los eventos se superponen. Pero tenga en cuenta que a los clientes no les importan los sentimientos personales de los auditores sobre los errores, solo necesitan niveles de riesgo significativos antes de priorizar las correcciones de errores para que puedan interactuar con los usuarios. Las vulnerabilidades se pueden evaluar como críticas si son realmente críticas, como aquellas vulnerabilidades que probablemente se explotarán y causarán daños graves, según lo define el modelo de amenaza. Recuerde, exagerar la severidad no ayudará al auditor a construir una reputación en el trabajo de auditoría.

Bitget y BitUinverse serán coanfitriones del Grid Trading Contest: según el anuncio oficial, Bitget será coanfitrión del Contract Grid Trading Contest con BitUinverse. El pozo de premios total de esta competencia es de 7000 USDT. Durante la competencia, elija Bitget Exchange en BitUniverse y complete la facturación del contrato, y puede obtener recompensas BFT equivalentes a 6 USDT, un total de 500 recompensas; elija Bitget Exchange en BitUniverse para realizar transacciones de contrato, y la "ganancia de la red" es la más alta. Los 20 usuarios principales participantes compartirán 2500 USDT de experiencia de oferta real de contrato de oro y 1500 USDT de recompensas BFT equivalentes de acuerdo con la proporción de ganancias. Bitget distribuirá las recompensas a la cuenta de intercambio de Bitget del usuario ganador dentro de las 2 semanas posteriores a la finalización del evento. Se informa que la competencia se llevará a cabo desde las 12:00 del 5 de noviembre hasta las 12:00 del 5 de diciembre (hora de Singapur). [2020/11/6 11:48:50]

Cómo escribir un informe de auditoría de alta calidad

A continuación, hablemos sobre cómo escribir un informe de auditoría de alta calidad.

Primero, los auditores deben comprender la audiencia objetivo de la auditoría. La auditoría debe satisfacer las necesidades de la audiencia objetivo, por lo que se deben proporcionar diferentes documentos de auditoría a diferentes audiencias, por ejemplo, si solo los desarrolladores pueden leer el informe, entonces es suficiente un documento informal de lenguaje de marcado ligero, lo que puede ahorrar tiempo de edición; Pero si el informe debe compartirse con inversionistas, auditores de cumplimiento o la alta gerencia, entonces se debe presentar un informe de auditoría elegante con colores y logotipos, y un resumen ejecutivo. Por lo tanto, es importante saber de antemano quién leerá el informe de auditoría, especialmente si el informe se publicará. En este caso, también se requiere un cuidado especial para evitar malas interpretaciones y referencias engañosas.

En segundo lugar, también es muy importante comprender los últimos desarrollos en la industria de la auditoría y hacer bien su tarea. Por ejemplo, cuáles son las últimas referencias y las últimas vulnerabilidades y estrategias de ataque, lo que ayudará a los auditores a ahorrar un tiempo considerable para mantener una lista de problemas comunes en los componentes criptográficos, así como una lista de errores comunes y defectos específicos de ciertos lenguajes de programación. Además, crear sus propias herramientas de auditoría puede ser muy efectivo, lo que puede automatizar el proceso de auditoría y ahorrar tiempo. Ya existen muchas herramientas de este tipo en el mercado, por lo que los auditores pueden familiarizarse con las herramientas de auditoría relevantes antes de comenzar la auditoría.

Una vez más, recuerde que un informe detallado es mejor que uno conciso. Para un auditor que está familiarizado con el ataque y la explotación de vulnerabilidades de seguridad técnica, a menudo es tentador omitir algunos de los detalles y esperar que el lector llene los vacíos en la descripción de la vulnerabilidad y las recomendaciones de resolución, pero hacerlo conlleva cierto riesgo. porque el lector malinterpretará problemas prácticos, que a su vez no podrán ser resueltos adecuadamente. Escribir información detallada del informe también puede ayudarlo a detectar posibles errores o malas interpretaciones en su análisis, al mismo tiempo que hace un buen uso de fuentes externas, como publicaciones de blogs, artículos de investigación o incluso repositorios de código de proyectos similares.

Recuerde también, cuando realice una auditoría, no use un tono peyorativo o sarcástico, sino que sea franco y honesto en su evaluación, aunque la calidad de parte del código pueda ser terrible. Del mismo modo, no se exceda cuando la calidad del código esté por encima del promedio.

Recomendación para Auditor

Para reducir la carga de trabajo de los auditores, aquí hay una sugerencia, es decir, los auditores pueden dividir las tareas de revisión de código de acuerdo con los diferentes componentes de la base de código, como paquetes, subcajas, etc., y luego distribuir el trabajo entre los miembros del equipo. todos, hay mucha gente Es poderoso. Pero este enfoque también tiene algunos problemas, es decir, una persona solo se enfoca en una línea de código determinada sin comprender completamente la interacción entre los componentes. Entonces, si quiere ir aún mejor, puede tener dos personas auditando el mismo componente, y cada una tiene al menos una comprensión básica de todos los componentes que se auditan y cómo funcionan juntos. No solo eso, sino que trabajar con dos personas también ayudará a discutir juntos la identificación de errores y la detección de errores del modelo, y no será aburrido.

Cuando se trata de trabajo en equipo, también es importante documentar su propio trabajo. Por ejemplo, después de cada 1 o 2 horas de trabajo, haciendo un seguimiento de su propio trabajo, incluidos los archivos/funciones/mecanismos que se han analizado, luego escriba ideas o intentos de ataque fallidos y luego compártalos con el resto del equipo. Además, esta práctica es un intento de justificar el trabajo al cliente.

Entonces, después de hablar sobre el trabajo de los auditores, hablemos de sus honorarios. Si bien generalmente se dice que el cobro se basa estrictamente en las horas trabajadas, esta no siempre es la regla, especialmente en empresas más grandes y menos especializadas. Generalmente se entiende que un "día" de trabajo es el equivalente a 8 horas de trabajo, por lo que se debe facturar a los auditores por cada jornada de 8 horas trabajadas, no por el empleado asignado al proyecto que se presentó en la oficina y trabajó un día laborable. día Cobrado por día laborable. Después de todo, a veces se necesitan horas entre reuniones y pausas para el café.

Asesoramiento a clientes

Para evaluar mejor un proyecto de cifrado, es importante elegir un buen auditor. Para los clientes, también es muy importante determinar los requisitos de auditoría y comunicarse con los auditores. Es mejor que el cliente detalle lo que esto significa desde la perspectiva del proyecto, por ejemplo, si le preocupan más los errores de codificación, si le preocupa la falta de coincidencia entre el código y las especificaciones, si le preocupan los errores de diseño, etc. .

En segundo lugar, el cliente debe informar al auditor dónde enfocar la auditoría y cuáles consideran que son los mayores riesgos, y luego describir estos problemas en el contexto del modelo de amenazas y el modelo operativo. Recuerde compartir la mayor cantidad de información posible y no confíe en la afirmación "el código es suficiente para explicar la documentación", especialmente cuando se trata de protocolos de encriptación complejos. Incluso si el código describe claramente el trabajo realizado, no puede describir con precisión las medidas de seguridad que deben tomarse, y mucho menos el modelo contradictorio y las propiedades de seguridad del objetivo. Por lo tanto, es muy importante tener documentos de explicación detallados y compartir todos los documentos de diseño, trabajos de investigación relevantes, informes de revisión anteriores con los revisores. Esto no solo les ahorra tiempo a los auditores, sino que también les ayuda a comprender todos los aspectos del sistema que se audita.         

Además, los clientes también necesitan poner sus mentes en orden y mirar el proceso de una manera constructiva. Si bien es tentador ver un informe de auditoría como una aprobación de un proyecto, puede ser muy desagradable recibir un informe de auditoría que encuentre una gran cantidad de problemas en el trabajo. Una cosa que se debe entender aquí es que es poco probable que la auditoría otorgue una aprobación incondicional al producto, porque esto puede generar dudas sobre el posible conflicto de intereses del auditor. Además, la auditoría es solo una revisión puntual, y el objetivo de la auditoría es descubrir problemas potenciales, de modo que se pueda ayudar a los clientes a resolver estos problemas y mejorar la postura de seguridad del objetivo de la auditoría. El resultado de la auditoría debe ayudar a mejorar el proyecto o producto, y este objetivo debe lograrse con el esfuerzo conjunto del cliente y del auditor.

Por supuesto, como cliente, aún debe considerar la tarifa de auditoría. Se recomienda a los clientes que acuerden el contenido del informe por adelantado, por ejemplo, cuando solo necesita una descripción informal de los problemas de seguridad en un informe de auditoría, es posible que no desee pagar por un trabajo que solo demora 3 días en completarse, especialmente si este trabajo solo puede ser Simplemente escriba la especificación. Por lo tanto, refleje exactamente qué esperar de un informe de auditoría y qué no desea ver en su declaración de trabajo o reunión inicial.

En segundo lugar, el cliente debe revisar la carga de trabajo y no dejarse llevar por la nariz por la empresa de auditoría. Si un proyecto con solo 500 líneas de código, pero la empresa de auditoría propone que se necesitan 5 personas/semana, sería ridículo. En este momento, el cliente puede comunicar directamente a los auditores los problemas que ha encontrado sin dudarlo, o directamente cambiar a otra empresa auditora. Además, en comparación con los desarrolladores que dedican mucho tiempo (como 6 meses) al desarrollo del proyecto, los auditores deben tener una falta de comprensión del código base, por lo que los clientes deben confirmar el plan de auditoría y las medidas de implementación, y ayudar a auditar a las personas. conocen el código base lo suficientemente bien, después de todo, si no entienden lo que está haciendo el código del proyecto, es menos probable que encuentren errores en él.

Un consejo más aquí, si no necesita necesariamente un informe de auditoría, solicite solo solicitudes informales de hallazgos de informes de auditoría de los desarrolladores a través de IRC, Slack, Signal u otras plataformas. Si necesita un informe completo con todos los hallazgos para archivar, pero no necesita un documento súper formal y pulido, entonces los auditores no tienen que dedicar tanto tiempo a preparar el informe, y hacerlo puede ahorrarle al cliente días de consultoría. .

Un último recordatorio para los clientes es que los paquetes de trabajo sobrevendidos deben manejarse con cuidado. Algunas firmas de auditoría pueden promocionar y vender algún "trabajo extra", como: "Modelado de amenazas", "Reforzamiento de la seguridad", "Optimización del rendimiento" u otros subproyectos más o menos relacionados o similares, que aumentarán sus honorarios de consultoría. . Por lo tanto, tanto la Parte A como la Parte B deben comprender claramente el contenido y los objetivos del trabajo de auditoría por adelantado, así como el valor que el trabajo de auditoría aportará al cliente. Pero a veces, el personal de ventas de las empresas de consultoría de auditoría puede vender muchos servicios "poco prácticos". Si el gerente de la Parte A no está familiarizado con la situación específica, o firmó el contrato apresuradamente sin la participación de ingenieros, puede ser engañado. Al final, ambas partes saldrán perjudicadas.

Resumen

Las sugerencias compartidas anteriormente se basan en la experiencia de muchos nombres importantes con amplia experiencia en el trabajo de auditoría de seguridad. Ellos saben muy bien qué funciona en el proceso de auditoría y qué no funciona. Espero que estos productos secos realmente puedan ayudar a todos.

Parte de este artículo está recopilado de Yahoo Finance

Tags：

XLM