[Traduction] Session Questions/Réponses du 01/10/2018 avec l’Équipe d’Audit


#1

Le 1er octobre 2018, les auditeurs RideSolo, Yuriy77k, et Gorbunovperm , répondaient aux questions de la communauté sur Telegram.

Bonjour, @RideSolo , @yuriy77k , @gorbunovperm

Q: Comment l’équipe gère-t-elle le caractère prioritaire des smart contracts qui doivent être audités et quels sont les projets à venir ?

Nous vérifions principalement les smart contrats solidity, qui sont compatibles avec Ethereum Virtual Machine (ETC/ETH/CLO/QTUM).
Depuis peu, nous vérifions les contrats EOS qui sont différents de ceux d’ETC/ETH/CLO et d’autres blockchains compatibles avec Ethereum.

Q: Pouvez-vous nous présenter quelques chiffres sur les audits réalisés ?

Au cours du mois dernier, nous avons effectué une quinzaine d’audits.

Q: Comment nous positionnez-vous en ce qui concerne la plateforme de gestion Github ? Est-elle accessible à tous ?

Cette plateforme sera ouverte à tout le monde, ainsi les développeurs pourront y suivre les avancées des audits.

Q: Est-il prévu d’héberger directement les contrats sur la blockchain CLO et ainsi proposer une infrastructure plus performante ou différente que celles disponibles sur le marché ?

Oui, les développeurs sont invités à participer à notre réseau.

N’importe qui peut déployer son dApp/token/ICO sur Callisto network, toutefois si votre question concerne le plan marketing, je ne pourrai y répondre.

Q: Prévoyez-vous de faire appel à des influenceurs pour promouvoir Callisto (Suppoman et autres) ?

Cette question ne concerne pas le département de sécurité.

Q: Nous ne connaissons rien aux audits de sécurité. Parlez-nous donc des plans de l’équipe d’audit.

Nous prévoyons de porter le nombre d’audits à 60 par mois et de créer un département pour l’audit des contrats EOS.

Q: L’équipe réalisera-t-elle un audit sur le Smart Contract de Cold Staking ? Dans la mesure où des millions de Callisto seront engagés, ce contrat devra être sécurisé.

Naturellement, nous prévoyons un audit et une prime aux bugs. Nous comprenons tous l’importance de tels contrats, si bien qu’aucun risque ne sera pris.

Q: Actuellement, combien y a-t-il d’auditeurs dans l’équipe ? Par ailleurs, pensez vous que 60 audits par mois suffisent pour la file d’attente ?

Nous avons 6 auditeurs dans l’équipe Solidity et 1 dans celle d’EOS. Et si la file d’attente s’allonge, nous embaucherons d’autres auditeurs.

Q: De combien d’auditeurs a-t-on besoin pour un contrat intelligent ou l’audit est-il effectué par un seul auditeur ? Excusez-moi, je ne suis qu’un mineur, mais si je veux pouvoir en parler, c’est important. Comment l’audit est-il réalisé en détail ?

3 auditeurs indépendants effectuent l’audit du smart contract, ensuite je révèle leurs rapports et en fais la conclusion.

Q: Vous avez dit avoir effectué 15 vérifications ce mois-ci. Combien de problèmes avez-vous découverts ? Trouvez-vous toujours quelque chose ?

Personnellement, je trouve des problèmes de gravité moyenne fréquemment, mais aussi des problèmes moins graves. Un problème important équivaut généralement à un exploit direct dans lequel un pirate informatique peut tirer un avantage du contrat.

Environ 1/5 des contrats intelligents audités contiennent des problèmes de gravité élevée.

Q: Qu’est-ce qui vous empêche de le garder pour vous et de l’exploiter vous même ?

Je suis mieux payé lorsque je trouve un problème de gravité élevée, et si je le dissimulait, d’autres vérificateurs le trouveraient de toute façon. Ainsi, il est plus que sûr de faire un audit avec l’équipe callisto.

Q: Lorsque je pense à la sécurité, je pense à un homme costaud devant la porte. Que vérifiez vous réellement. Est-ce le code ?

Nous effectuons une analyse approfondie du code et également des tests.

En examinant le code, nous analysons la logique du contrat et recherchons ses failles.

Q: Pourquoi ne pas publier les statistiques relatives aux travaux de vérification des smart contracts ?

Actuellement, nos rapports sont publiés sur GitHub, et sont consultables par tous :

EthereumCommonwealth/Auditing
Contribute to EthereumCommonwealth/Auditing development by creating an account on GitHub. github.com

Q: Est-ce votre travail à temps plein?

Le mois dernier, c’était quasiment un emploi à plein temps, mais pas tout a fait puisque je suis étudiant en doctorat.

Q: Les problèmes que vous trouvez. Sont-ils intentionnels ou sont-ils plutôt des “ fautes de frappe “ ?

Bien souvent, c’est la logique qui pose problème.

Q: Que se passe-t-il si vous constatez un problème grave, que le développeur décide de ne pas y remédier et vous demande que les résultats ne soient pas rendus publics ?

Si des vulnérabilités sérieuses sont trouvées, nous donnons 15 jours au développeur pour les corriger et nous publions ensuite le rapport sur Github. Si le problème n’est pas sérieux, nous le publions immédiatement.

Traduit par spatialiste .