对话Web3安全超级独角兽CertiK:「誉满天下,谤满天下」(12)
2023-04-30 来源:飞速影视
极客公园:大量的自动化审计,如何保证审计质量?
顾荣辉:这是一个好问题。为什么传统安全公司一直是小团队模式?因为规模化之后,很难保证安全率、安全质量。因为你一个月接 500 个订单,就算你的安全率达到 99%,平均每个月也会有 5 个项目爆雷。公司一下就不行了。
CertiK 是有一套监控系统(monitoring system),去监控我们的自动化审计 人工核对的工作是不是合格。每一份报告,我们都会根据安全专家的行为、报告结果、跟同类项目的比较,评出一个「自信分」(confident score)。一旦这份报告的自信分低于某个阈值,我们会启动相应流程处理。
极客公园:那为什么 2020 年「LIEN FINANCE」这个项目的漏洞,还是有人在网上帮你们找到的?
顾荣辉:理论上没有一种技术可以确保软件 100% 的安全。
我们从来不强调「CertiK 就是万无一失的」。这也是我们把所有审计报告公开的原因。公开的审计结果,给了所有人都可以来检查的机会,让更多人可以找到代码问题,让项目更安全,这比 CertiK 的品牌声誉重要得多的多。
极客公园:有项目方说,它找了好几家审计公司,CertiK 审出来的漏洞是最少的。
顾荣辉:我相信绝大部分情况不是这样的,目前市面上公开的报告可以佐证我们的观点。
不过确实有一些情况,比如有的项目方在和小团队合作时,小团队会把所有人都扑在一个项目上,会有非常频繁的沟通,很多小的问题也都会和项目方反复确认,有非常多的反馈和交互。但是 CertiK 是规模化的,是一次性的直接出报告,自动化程度高,会忽略我们认为不重要的问题,也缺少和项目方反复确认的过程。体验确实不同。
目前我们在针对这个问题进行改进,比如利用 ChatGPT,在实现规模化的同时带给客户更好的服务体验。
极客公园:因为 CertiK 审核过的代码出现漏洞,导致项目方损失,你们会承担什么责任吗?你们会跟项目方道歉吗?
顾荣辉:首先,这样的情况并不多。其次,如果出现损失,我们第一时间是帮用户减少损失、追回被盗资金。之后我们会出具很详细的报告,说明为什么会发生这个情况。责任的话,就像我们一直强调的,审计报告不是一枚章,不是「防弹证书」,而是一个动态的安全评估。
极客公园:你的同行表示,CertiK 审计了近 6000 个项目,暴雷了好几个。但它们审计了 2000 多个项目,却没有一个出问题。你怎么回应这个观点?
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号