加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > FIL > Info

金色觀察丨分享加密項目審計”干貨”_區塊鏈:數字貨幣被騙過程600秒視頻

Author:

Time:1900/1/1 0:00:00

金色財經 區塊鏈1月31日訊  一份好的加密項目審計報告可以讓客戶發現潛在問題,并助之解決這些問題,最后可以幫助該項目或產品得到改進,使客戶獲得更高的價值。不過,這要建立在審計人員以專業和客觀的態度與你合作,雙方共同實現這個目標的前提基礎上。如果審計人員都能遵循一定的質量和道德標準,那么客戶就能更好地達到他們的預期和要求。

通常,客戶對加密項目的要求不僅僅是找到問題,而是能找到解決方案。因此,這要求審計人員能夠為每個發現的問題都提供一些附帶的解決建議,而不是在重言式推薦中簡單寫一句“修復這個問題”。其次,應具體說明問題并在可能的情況下提供補丁。雖然作為審計師,找出最佳解決方法并不總是那么容易的,但可以嘗試先寫下幾種解決策略,然后再與客戶進行討論。不僅如此,解決方案還可區分為短期修復和長期修復。短期修復的解決方案比較簡單,例如添加其他的健全性檢查或更新某些依賴性方案;而長期修復的解決方案耗時較長,有可能需要做更多工作或進行系統/設計更改。

提到與客戶的討論,在這里要建議審計師積極與客戶進行交流,通常來說,最好在準備工作說明時或是在啟動會議期間能和對方就如何使用溝通渠道達成共識。不僅如此,審核人員定期與客戶共享他們的審計工作進度是非常重要的,比如自己正在評審代碼中的哪一部分、發現哪些內容不清楚或有錯誤信息,同時還要在發現問題后立即報告,這將有助于審計師及早發現錯誤,并讓開發人員實施debug措施。

金色午報 | 11月2日午間重要動態一覽:7:00-12:00關鍵詞:澳洲聯儲、韓國、北京、廣東省

1. 澳洲聯儲預計2021年上半年發布批發數字貨幣項目報告;

2. 韓國發布特殊金融法實施條例立法預告將禁止交易匿名幣;

3. 北京率先發文推進實施電子勞動合同 后續將探索區塊鏈等新技術手段;

4. Compound社區發起28號提案 允許UNI持有者進行cUNI團體投票;

5. 江蘇省首家區塊鏈“兩訴”服務中心在無錫投運;

6. 北京率先發文推進實施電子勞動合同 后續將探索區塊鏈等新技術手段;

7. 廣東省自然資源廳與華為簽署協議 將推進自然資源領域運用區塊鏈等技術;

8. 經濟日報:央行數字貨幣試點不會完全取代現金;

9. 比特幣全網難度預計將于明日迎來下調,預計下調幅度達14%。[2020/11/2 11:25:10]

當然,如果最終的審計報告中沒有涉及到任何一個安全問題的話,對審核員和客戶而言可能都會感到一絲尷尬,客戶甚至會以為審核人員可能沒有很好地完成工作,自己的錢也許白花了。所以為了減輕這種擔憂,無論最終的報告中什么問題都沒發現還是發現了一堆問題,建議最好可以首先列出自己一直在尋找的錯誤類型,然后還可以描述自己使用過哪些審計工具及其配置,并枚舉已驗證的屬性。

金色晨訊|7月14日隔夜重要動態一覽:21:00-7:00關鍵詞:英國央行、三菱UFJ、資本利得稅、比特大陸

1.英國央行行長:英國央行正研究是否應創建央行數字貨幣。

2.三菱UFJ將于今年晚些時候推出數字貨幣“Coin”。

3.世界銀行:智能合約是一種“有限的”金融工具。

4.韓國或將對加密貨幣征收20%的資本利得稅。

5.SEC指控加密貨幣錢包Abra向散戶銷售證券掉期產品。

6.國際清算銀行:不確定全球穩定幣能否幫助跨境支付。

7.詹克團方回應:吳忌寒無法代表比特大陸免除世紀云芯相關職務。

8.CME比特幣期貨7月合約收報9270美元。

9.貴州省銅仁市基于區塊鏈開發電子處方流轉平臺。[2020/7/14]

但是,在這要注意的一點是,審計人員通常會夸大問題的嚴重性。而做出這樣的評級決定有時并非因為項目真的有明顯問題,而是因為項目只是“看起來”很糟糕并且會讓審計人員感到尷尬,或者因為他們推測在事件重合的情況下或許會出現漏洞。但要知道,客戶并不關心審計員對bug的個人感覺,他們只需要有意義的風險等級,然后再去確定修復bug的優先級,這樣才能與用戶進行交互。如果漏洞確實非常嚴重,比如按照威脅模型的定義,這些漏洞很可能被利用,而且存在嚴重危害,那么可以將其評估為嚴重漏洞。記住,夸大嚴重性不會幫助審計員在審計工作中樹立聲譽。

金色晚報 | 4月26日晚間重要動態一覽:12:00-21:00關鍵詞:DC/EP試點、陜西省發改委、USDT、支付寶、XTZ

1. 成都有望五一前后公布DC/EP試點,首批內測商戶聚集線上線下融合消費。

2. 上海市委書記:積極運用區塊鏈等技術,讓知識產權人辦事更方便。

3. 陜西發改委開展新基建重大項目調研,包含區塊鏈等技術。

4. 廈門成立知識產權司法協同中心,將加快區塊鏈等運用構建技術調查等平臺。

5. 近一周Tether新增印鈔2.64億USDT。

6. 支付寶用區塊鏈保護版權,服務超2000萬中小企業。

7. MakerDAODai上限提高至1億2千3百萬。

8. 數據:Tezos是最大的Staking網絡,逾94%的XTZ被鎖定。

9. 阿里巴巴頒布“橙點公益榜”,區塊鏈公益項目入選。[2020/4/26]

如何撰寫高質量審計報告

接下來,我們就來談談如何撰寫一份高質量的審計報告吧。

首先,審計員必須得了解審計目標受眾對象。審計需要滿足目標受眾的需求,因此需要向不同的受眾提供不同的審計文檔,比如如果只有開發人員會閱讀報告,那么一個非正式的輕量級標記語言文檔就足夠了,這樣可以節省編輯時間;但如果報告需要與投資者、合規審計員或高層管理人員共享,那么就必須提交一份帶有顏色和徽標的精美審計報告,以及一份執行摘要。所以,事先了解誰將閱讀審計報告,特別是這份報告是否會被公布是十分重要的。在這種情況下,還需要格外小心,以避免誤解和誤導性引用相關內容。

金色盤面:BTC短線走弱 箱體震蕩:金色盤面獨家分析:btc在三角形上軌受阻,這里匯集了黃金線、趨勢線的多重阻力,導致價格出現快速下跌,但目前箱體尚未突破,屬于震蕩走勢,應該保持觀望,待降速后再做判斷。上述分析僅限技術交流,不作為交易參考,投資者需要理性看待市場價格波動,做好風險控制。(登錄金色財經APP—發現,查看更多幣種的獨家點評。)[2018/9/29]

其次,了解審計行業的最新動態,做好功課也是很重要的。比如有哪些最新的參考資料文獻和最新的漏洞和攻擊策略,這會幫助審計員節省相當多的時間來維護加密組件中常見問題的清單,以及特定于某些變成語言的常見錯誤和缺陷清單。此外,創建自己的審計工具也是一種十分有效的做法,這可以使審計過程自動化并節省時間。目前 市場上已經有了不少這種工具,因此審計員可以在開始審計之前先熟悉下相關審計工具。

再次,要記住詳盡的報告好過于簡潔的報告。對于一個熟悉攻擊和利用技術安全漏洞的審核員來說,往往很想跳過一些細節問題,并期望讀者自己填補漏洞描述和解決建議中的空白,但這樣做的確有一定風險,因為讀者會誤解實際問題,繼而無法正確解決。編寫詳細的報告信息還可以幫助你發現分析中的潛在錯誤或誤解,同時也可以充分利用外部資源,例如博客文章、研究文章、甚至來自類似項目的代碼庫。

分析 | 金色盤面:螞蟻金服開展場外交易清理:金色盤面綜合分析:清晨螞蟻金服發布消息,將嚴密監控排查涉及虛擬貨幣市場場外交易的行為。隨后看到OKEX發出公告,自8月28日起提幣需要身份認證。目前BTC市場價格相對穩定,未受到消息影響,我們會密切關注事態進一步發展,也提請投資人增強風險控制意識。[2018/8/24]

另外請記住,在進行審計的時候,即使某些代碼的編寫質量可能會令人感到震驚,但也不要使用貶義或嘲諷的語氣,而是要坦率而誠實地進行評估。同樣,當代碼質量高于平均水平時,也不要過分贊美。

給審計員的建議

為了減輕審計員工作量,在這給出一個建議,那就是審核員可以將代碼審核任務按照代碼庫的不同組件進行劃分,比如package、subcrates等,然后在團隊成員之間分配工作,畢竟人多力量大嘛。但這種方法也有一些問題,那就是某一個人只關注給定的代碼行,而沒有完全了解組件之間的交互。所以如果想做的更好,其實可以讓兩個人負責審計同一組件,并且每個人至少要對所審查的所有組件以及它們如何協同工作有基本的了解。不僅如此,兩個人工作也會有助于共同討論識別錯誤和檢測模型錯誤,而且不會讓人感到無聊。

提到團隊合作,那么記錄自己的工作也是十分重要的。比如每工作1、2個小時后,通過追蹤自己的工作,包括已經分析的文件/功能/機制,然后記下想法或是失敗的攻擊嘗試,然后與團隊其他人進行共享。此外,這種做法也是向客戶證明工作合理性的一種嘗試。

那么說完了審計員的工作,再來談談他們的收費情況吧。雖然說一般都是嚴格按照工作時間收費,但這并不總是規則,特別是在規模較大和專業程度較低的公司中。 “一天”的工作通常被理解為相當于8個小時的工作,因此,審計員應該按每8小時工作的天數收費,而不是為分配給該項目的員工出現在辦公室并工作了一個工作日的每個工作日收費。畢竟,有時候你需要在會議和茶歇之間耗費好幾個小時。

給客戶的建議

為了更好地對一個加密項目進行評估,選擇一個好的審計員固然重要,對于客戶來說,確定審計需求并與審計人員進行溝通也是十分重要的。客戶最好能從項目角度詳細說明這意味著什么,比如是否最擔心編碼錯誤;是否擔心代碼和規范之間不匹配;是否擔心出現設計錯誤等。

其次,客戶需要讓審核人員知道審核的重點放在哪里,以及自認為最大的風險是什么,然后在威脅模型和運營模型的背景下描述這些問題。要記住,盡可能多地共享信息,不要相信“代碼足以說明文檔”這種話,尤其是面對復雜的加密協議時。即使代碼清楚地描述了已完成的工作,也無法準確描述出應采取的安全措施,更不用說對抗模型和目標安全屬性了。因此,擁有詳細的解釋文檔,并與審核人員共享所有設計文檔、相關研究論文、以前的審核報告是十分重要的。這不光可以使審計人員節省時間,還可以幫助他們掌握被審核系統的所有內容。        

另外,客戶也需要擺正心態,以建設性的方式看待流程。把審計報告看作是對項目的認可固然很“誘人”,但倘若收到的審計報告發現了工作中的大量問題,也許會讓人很不開心。在這需要明白的一點是:審計不太可能對產品無條件認可,因為這可能會引起對審計人員潛在利益沖突的質疑。而且,審計只是一個時間點審核,審計的目標是發現潛在問題,這樣就可以幫助客戶解決這些問題,并改善審計目標的安全態勢。審計的結果就是應該幫助項目或產品得到改進,并在客戶和審計員雙方的共同努力下實現這個目標。

當然,作為客戶肯定還是需要考慮審計費用的。建議客戶事先就報告內容達成協議,比如你只需要在審計報告中對安全性問題進行非正式描述時,可能不希望為只需要3天時間就能搞定的工作付費,尤其是這項工作可能只是簡單編寫規范而已。因此,請在工作說明或啟動會議的時候準確反映出對審計報告有何期望,以及哪些事情是你不希望看到的。

其次,客戶需要審核下工作量,不要被審計公司牽著鼻子走。假如一個只有500行代碼的項目,審計公司卻提出需要耗費5人/周的工作量,那就太可笑了。這個時候,客戶可以毫不猶豫地直接告訴審計人員自己所發現的問題,或者直接換一家審計公司。另外,相比于那些在項目開發工作中花費大量時間(比如6個月)的開發人員,審計人員對代碼庫的了解程度肯定有所欠缺,因此客戶需要確認審計方案和實施措施,并且幫助審計人員充分了解代碼庫,畢竟如果他們不了解項目的代碼在做什么,那么也不太可能在其中發現錯誤。

在這再提供一個小貼士,假如你不一定需要審計報告的話,那么可以要求僅通過IRC、Slack、Signal或其他平臺非正式地向開發人員索要審計報告調查結果。如果你需要一份包含所有調查結果的綜合報告來存檔,但不需要一份超級正式和精良的文件,那么審計人員就不用在報告準備上花費太多時間,這么做也能幫助客戶節省幾天的咨詢費。

最后要提醒客戶一點的是,需小心處理超售工作包。一些審計公司可能會推廣銷售一些“額外工作”,比如:“威脅建模”、“安全強化”、“性能優化”、或其他或多或少相關的子項目之類的東西,這些子項目會增加你的咨詢費用。所以,甲乙雙方都應該事先清楚地理解審計工作內容和目標,以及審計工作將為客戶帶來哪些價值。但有時候,審計咨詢公司的銷售人員可能會推銷許多“不實用”的服務,如果甲方經理不熟悉具體情況、或是在沒有工程師參與時便草草簽約,那么可能會上當受騙,這種情況最終也會傷害甲乙雙方。

總結

以上分享的建議都是綜合了許多有著豐富安全審計工作經驗的大咖的經驗之談,他們十分了解審計過程中有哪些事情行之有效,哪些事情勞而無功。希望這些干貨能夠切實幫助到大家。

本文部分內容編譯自雅虎財經

Tags:區塊鏈NBSBSP數字貨幣魔獸幣是有使用區塊鏈技術嗎NBS幣BSPAY數字貨幣被騙過程600秒視頻

FIL
09年至今 代幣5種分配模式的演進進程_以太坊:幸運以太坊

隨著比特幣的價格走勢,更多的資本將尋找投入資金運作的地方,而代幣分配是其中的「重頭戲」,這也是這個行業最有活力的一環,我們喜歡站在這個行業的最前沿。聰明的投資者知道,「盡早」是成功的關鍵.

1900/1/1 0:00:00
金色觀察 | 聚焦地方兩會中的“區塊鏈”聲音_區塊鏈:DAS

2021年是“十四五”規劃的開局之年。根據科技部近日發布的“十四五”重點研發計劃征求意見指南,“區塊鏈”重點專項計劃于 2021 年啟動實施,又一次將區塊鏈推向了風口之上.

1900/1/1 0:00:00
錯過百倍回報的Flow 別再錯過這些NFT新項目_NFT:BSP

似乎是一個輪回,CryptoKitties 在 2017 年的牛市中大放光彩,成為第一個讓公鏈癱瘓的爆款 dApp.

1900/1/1 0:00:00
Rebase機制進入BTC社區 DIGG一枚7.8萬美元 會玩出什么花樣_IGG:bnbtiger幣有價值嗎

算法穩定,可謂起起落落,跌宕起伏,一波高潮,一波哀嚎。既見新人笑,又見舊人哭,可能還是同一批人。算法穩定幣,出道時間不長,但演化出了4代,依次為:AMPL、ESD、Basis、Frax.

1900/1/1 0:00:00
首發 | 2020年第四季度中國城市區塊鏈綜合指數報告_區塊鏈:bitop官網

本報告由中國工業與應用數學學會區塊鏈專委會、中國通信工業協會區塊鏈專委會、中國移動通信聯合會區塊鏈專委會、湖南省東方區塊鏈安全技術檢測中心、湖南大學數字社會和區塊鏈研究院、湖南省天河區塊鏈研究院.

1900/1/1 0:00:00
“中證鏈”發布首個應用:用區塊鏈技術解決投行電子底稿監管痛點_區塊鏈:區塊鏈技術最早應用于

區塊鏈作為一項新興技術,其價值正得到普遍認可。并且在諸多領域都有應用潛力,其中金融領域因具備參與者之間信任度低、交易記錄安全性和完備性要求高的特點,與區塊鏈天然契合.

1900/1/1 0:00:00
ads