Недавно, чтобы помочь нескольким друзьям с проектами, я изучал десятки так называемых топовых отчетов по безопасности (Audit Report) и заметил сильное астигматизм.
Скажу правду, которая может кого-то обидеть: сейчас в кругу 90% отчетов об аудите по сути представляют собой дорогостоящие «гражданские удостоверения». Аудиторские компании получают деньги за выполнение заказов, а стороны проекта используют отчеты для PR. Что касается того, осталась ли в коде задняя дверь или была ли тайно изменена какая-то ключевая параметр в полночь, то этот отчет в формате PDF совершенно не может это контролировать и не может это доказать.
Этот разовый доверительный ложный бум вызывает у меня, человека с педантичным отношением к технологиям, физическое отвращение. Все думают, что если код зафиксирован в блокчейне, то он прозрачен, но кто может доказать, что сам отчет об аудите не был подделан? Кто может доказать, что аудитор на момент подписания действительно выполнял тесты производительности строчка за строчкой?
Вот почему, когда общая ситуация так плоха, я начинаю упорно заниматься @SignOfficial . Я не смотрю на его финансовый фон, я смотрю, сможет ли он полностью разрушить эту "игровую доверие".
Логика, которую я себе представляю, должна быть крайне жестокой: квалифицированный аудит не должен быть красивым изображением, опубликованным в Твиттере, а должен представлять собой необратимый протокол в Sign. Каждый раз, когда аудитор проверяет модуль, он должен подписывать его своим аппаратным приватным ключом в определённой схеме. Этот сертификат должен содержать текущий Git хэш, шумовые данные тестовой среды и даже геолокацию аудитора.
Это равносильно тому, что "репутация" этой эфемерной оболочки напрямую пришита к скелету криптографии. В будущем, если кто-то снова начнет рассказывать мне о безопасности проекта, не надо присылать PDF, просто отправьте ссылку на сертификат Sign. Если аудитор решит сыграть в поддавки, его репутация приватного ключа останется запятнанной на всей цепочке навсегда.
Я оптимистично смотрю на $SIGN , потому что он устанавливает правила в этом окружении, полном "временных актеров".
Она делает такую работу, которая больше всего раздражает и требует много усилий без вознаграждения. Всем нравится видеть иллюзию ста кратного роста, но я смотрю, кто сможет внедрить эту "неопровержимую цепочку доказательств" в экосистему базового кода. Когда никто больше не верит в так называемую "поддержку известных брендов", этот холодный, бесчеловечный цифровой штамп становится последним арбитром.