Recent, pentru a-i ajuta pe câțiva prieteni să își analizeze proiectele, m-am uitat la zeci de așa-zise rapoarte de audit de securitate de top și am observat o miopie severă.
Să spun o adevăr incomod: în prezent, 90% din rapoartele de audit din comunitate sunt, în esență, un „certificat de bună purtare” cumpărat pe o sumă mare. Companiile de audit iau bani și emit rapoarte, iar echipele de proiect folosesc aceste rapoarte pentru promovare. În ceea ce privește dacă codul lansat are uși ascunse sau dacă a fost modificat în secret un parametru cheie în miez de noapte, acel raport în format PDF nu are nicio putere și nu poate dovedi nimic.
Această falsă prosperitate bazată pe încredere unică mă face pe mine, o persoană cu o obsesie pentru tehnologie, să mă simt fizic rău. Toată lumea crede că codul pe blockchain este transparent, dar cine poate dovedi că acel raport de audit nu a fost modificat? Cine poate dovedi că auditorul, în momentul semnării, a efectuat cu adevărat testele de stres linie cu linie?
Aceasta este motivul pentru care, în ciuda unui mediu atât de prost, am început să mă concentrez pe @SignOfficial . Nu mă uit la fundamentele sale financiare, mă uit dacă poate distruge complet acest „tip de încredere jucată”.
Logica pe care o imaginez ar trebui să fie extrem de brutală: un audit competent nu ar trebui să fie o imagine frumoasă postată pe Twitter, ci ar trebui să fie o înregistrare de certificare ireversibilă din acordul Sign. Auditorul trebuie să semneze de fiecare dată când verifică un modul, folosind cheia lui privată de hardware într-un Schema specific. Această certificare trebuie să conțină hash-ul Git de la acel moment, datele de zgomot din mediu de testare și chiar informațiile despre locația geografică a auditorului.
Aceasta înseamnă că „credibilitatea” acestui strat iluzoriu este direct cusută pe scheletul criptografic. În viitor, dacă cineva îmi va vorbi despre siguranța proiectului, să nu-mi trimită un PDF, ci să-mi trimită un link la certificarea Sign. Dacă auditorul îndrăznește să lase lucrurile mai ușor, credibilitatea cheii sale private va lăsa o pată pe întreaga rețea pentru totdeauna.
Am încredere în $SIGN , pentru că stabilește reguli în acest cerc plin de „actori de ocazie”.
Ea face munca care este cea mai enervantă, cea mai dificilă și fără recompense. Toată lumea adoră să vadă iluzia unui salt de o sută de ori, dar eu mă uit doar la cine poate integra această „serie de dovezi de necontestat” în ecosistemul de cod de bază. Când toată lumea nu mai crede în așa-numitele „garanții de la mărci mari”, această marcă rece, lipsită de umanitate, de tipar digital va fi ultimul arbitru.