Exclusivo | ¿Qué riesgos enumerará Fairyproof Tech en el informe de auditoría? Cómo debemos leer el informe de auditoría

Este artículo fue creado originalmente por "Fairyproof Tech", autorizado por "Jinjin Finance" para su publicación exclusiva, por favor reimprímalo de una fuente famosa.

Las agencias de auditoría generalmente califican cada riesgo encontrado al auditar los riesgos del contrato. El propósito de la calificación es hacer que la parte del proyecto preste atención a los riesgos y tome medidas oportunas sobre los riesgos que deben abordarse; permita a los lectores, especialmente a los usuarios, comprender el riesgos del proyecto Saber algo para poder evaluar objetivamente y tomar decisiones sobre inversiones. la

En el informe de auditoría, Fairyproof Tech suele dividir los riesgos en cuatro niveles según el grado de peligrosidad y la urgencia a solucionar, a saber: riesgo fatal, riesgo alto, riesgo medio y riesgo bajo.

El riesgo fatal es el mayor y más peligroso de todos los riesgos, y debe ser resuelto inmediatamente por la parte del proyecto sin demora.

Los riesgos de alto riesgo son superados solo por los riesgos fatales en términos de peligro. Es muy probable que traigan serios problemas al proyecto y deben ser resueltos por la parte del proyecto.

El riesgo moderado es un nivel más bajo que el nivel de riesgo alto, puede traer problemas potenciales al proyecto, y la parte del proyecto debe finalmente resolverlo.

El riesgo bajo es el nivel más bajo de todos los riesgos. Por lo general, se manifiesta como algunos problemas detallados, mensajes de advertencia, etc. Por el momento, los problemas de este nivel no se pueden resolver, pero la parte del proyecto finalmente los resolverá en un nuevo versión en el futuro.

En el proceso de auditoría del contrato, Fairyproof Tech verificará estrictamente los riesgos de los cuatro niveles anteriores y cooperará estrechamente con la parte del proyecto, centrándose en instar y exigir a la parte del proyecto que resuelva los riesgos fatales y de alto riesgo, y moderados y bajos. Dar retroalimentación detallada y planes de mejora, pero la forma en que describimos los cuatro niveles de riesgo anteriores en el informe de auditoría ha pasado por un proceso de evolución.

El poder de cómputo total de la carrera espacial de Filecoin alcanzó los 134 PiB: según datos oficiales, la carrera espacial de Filecoin comenzó a las 6:00 a. m. del 25 de agosto y ha estado funcionando durante 13 días y 8 horas. La potencia informática total de toda la red es de 134 PiB y el número de mineros activos es de 358. La tasa promedio de éxito de las transacciones de almacenamiento es del 69 % y la tasa promedio de éxito de la recuperación es del 88 %. El nodo oficial IPFSMain 12.91 PiB ocupa el primer lugar en términos de poder de cómputo efectivo, y los cinco principales mineros se muestran en la siguiente figura. [2020/9/7]

La razón por la que tenemos este proceso de evolución en la descripción del informe está estrechamente relacionada con el método y el proceso de auditoría de Fairyproof Tech. El proceso de auditoría de Fairyproof Tech no es solo un proceso en el que nuestros ingenieros revisan el código ellos mismos, sino también un proceso de comunicación profunda y estrecha cooperación entre nuestros ingenieros y la parte del proyecto.

Fairyproof Tech llevará a cabo múltiples intercambios e interacciones de ida y vuelta con cada parte del proyecto del contrato. Cada vez que revisemos el código, enumeraremos todos los riesgos y daremos sugerencias de rectificación a la parte del proyecto. Cuando la parte del proyecto recibe nuestras sugerencias, necesita dar retroalimentación y modificar los resultados de nuestras sugerencias. Luego volveremos a auditar el contrato modificado por la parte del proyecto.

A través de tales auditorías progresivas, profundas y múltiples, finalmente emitimos un informe completo.

En este proceso, revisamos todas las versiones del contrato durante el proceso de revisión de la parte del proyecto y registramos todos los riesgos en todas estas versiones.

En este sentido, en nuestros primeros informes, enumeraremos todos los riesgos registrados en el proceso de auditoría sin excepción, incluidos los riesgos fatales y los riesgos de alto riesgo. Exigiremos a todas las partes del proyecto auditadas que mejoren estrictamente el código para eliminar estos dos tipos de riesgos, y tomaremos nota de los planes de mejora y los resultados de la parte del proyecto detrás de los dos tipos de riesgos enumerados. Si la parte del proyecto no elimina estos dos tipos de riesgos, estamos No se emitirá informe.

Pero encontramos que muchos lectores tienen dos problemas al leer el informe descrito de esta manera:

Una es que los usuarios a menudo no prestan atención al manejo de los riesgos fatales y de alto riesgo por parte de la parte del proyecto, y creen erróneamente que el contrato de la parte del proyecto ignora los problemas existentes, juzgando así el proyecto como de alto riesgo.

La segunda es que cuando el usuario recibe este extenso informe, no tiene paciencia para leerlo, si no lo lee con atención, no podrá ver qué problemas se han tratado y qué problemas están pendientes, lo que lo llevará a mayores dudas sobre el proyecto.

Con base en los comentarios anteriores de los lectores, hemos mejorado gradualmente la forma en que está escrito el informe de la siguiente manera:

Primero, no emitimos informes para proyectos que no aborden riesgos fatales y de alto riesgo, no emitimos informes para proyectos sin conocimiento o retroalimentación sobre proyectos de riesgo medio y bajo.

La segunda es que si Fairyproof Tech emite un informe de auditoría, solo se enumeran los riesgos moderados y los riesgos bajos en el informe, y la parte del proyecto debe proporcionar comentarios y planes de mejora para estos dos tipos de riesgos.

La razón principal por la que hacemos esto es para simplificar el contenido del informe y resaltar los puntos clave del informe, para que los usuarios puedan entender de un vistazo y dar en el clavo.

Por lo tanto, en el informe de auditoría emitido por Fairyproof Tech en la etapa posterior, los lectores generalmente solo ven la lista de riesgo medio y riesgo bajo, pero no el riesgo fatal y el riesgo alto.

Esto no quiere decir que el contrato nunca haya tenido riesgos fatales y riesgos de alto riesgo, pero si los hay, la parte del proyecto ha revisado y eliminado estos dos tipos de riesgos que no pueden aparecer en el contrato bajo la supervisión y sugerencia de Fairyproof. tecnología

Autor:

Tan Yuefei, CEO de Fairyproof Tech

Maestría en Ingeniería Industrial de Virginia Tech, Blacksburg, VA, EE. UU. Solía ​​ser ingeniero de software de AIBT Inc (San José, CA, EUA), una compañía de semiconductores de Silicon Valley en los Estados Unidos, responsable del desarrollo del sistema de control subyacente, la implementación del programa del proceso de fabricación del equipo y la diseño del algoritmo, y fue responsable del acoplamiento técnico general y la comunicación con TSMC. Desde 2011, se ha dedicado a la investigación de tecnología integrada, Internet y blockchain.Es profesor del curso "Introducción a Blockchain" en el Entrepreneurship College de la Universidad de Shenzhen, investigador visitante en el Blockchain and Intelligence Center de Sun Yat. -sen University y director ejecutivo de la Asociación de Investigación de Innovación Financiera de Guangdong. Posee personalmente 4 patentes relacionadas con blockchain y 3 trabajos publicados.

Acerca de la tecnología a prueba de hadas:

Fairyproof Tech Technology Co., Ltd. es una empresa que se centra en la seguridad ecológica de blockchain. Fairyproof Tech ha servido a muchos proyectos emergentes y conocidos principalmente a través de la solución integral integrada de "detección de riesgo de código + detección de riesgo lógico". La empresa se estableció en enero de 2021 y el equipo fue creado por un equipo con amplia experiencia en programación de contratos inteligentes y seguridad de red.

Los miembros del equipo participaron en la iniciación y presentación de una serie de borradores estándar en el campo de Ethereum, incluidos ERC-1646, ERC-2569 y ERC-2794, entre los cuales ERC-2569 fue aceptado oficialmente por el equipo de Ethereum. la

El equipo participó en el inicio y la construcción de varios proyectos de Ethereum, incluidas plataformas de cadena de bloques, organizaciones de DAO, almacenamiento de datos en cadena, intercambios descentralizados y otros proyectos, y participó en las auditorías de seguridad de varios proyectos. Gracias a la rica experiencia del equipo, se ha construido un sistema completo de seguimiento de vulnerabilidades y prevención de seguridad.

Tags：

OKB