Traducción al español de un fragmento de “April Cardano Development LIVE Update”
Del minuto 00:14:05 al 00:21:35 del video original
Publicado en el canal de Youtube de IOHK el 30 de Abril de 2020
Enlace a la versión doblada al español
Tim: Otra de las noticias de este mes pasado a los que muchos de ustedes respondieron, estaba alrededor de nuestra auditoría de código, la auditoría de seguridad de código que entregamos y compartimos eso con ustedes, como saben intentamos ser tan transparentes como podemos como negocio, como un proyecto y eso fue algo que compartimos públicamente con todo el mundo, pero llegaron unas cuantas preguntas y pensamos que deberíamos llevar a Charles, un Charles diferente esta vez, este es Charles Morgan, que es nuestro director de ciber-seguridad y pensamos en conseguir a Charles directamente y preguntarle a Charles, así que Charles, hacemos métodos formales, hacemos documentos revisados por pares, tenemos algunos de los principales expertos científicos del mundo ayudándonos a construir Cardano, ¿por qué tenemos que traer a alguien más para una auditoría de código externo, de qué se trata todo esto?
Charles: Es en realidad una muy buena pregunta, es bastante análogo a escribir un ensayo, cuando realmente estás familiarizado con tu propia escritura es muy fácil pasar por alto lo que has escrito, es fácil cometer errores, tu mente sabe lo que querías decir, lo que querías hacer y esto se traslada a lo que vemos en el mundo de codificación también y es realmente importante tener ojos frescos ahí, usar ojos frescos, echar un vistazo al código, no tener un interés personal en ese código base en particular, pero tener la experiencia y unir eso a algunas herramientas automatizadas para ayudarles a ver un panorama general de cómo todo encaja y encontrarán la mayoría de los asuntos. Realmente es la cosa inteligente y responsable para hacer, si estamos poniendo algo fuera que controla el dinero de la gente, las inversiones, queremos asegurarnos de que su dinero está tan seguro como podamos.
Tim: Obviamente hay un montón de trabajo interno, tal vez nos puedas dar una imagen de cómo los dos se unen y cómo trabajan juntos para entregar los resultados que queremos.
Charles: Bien, ¿estás hablando más de nuestros procesos internos?
Tim: Sí, supongo que hacemos auditoría interna hasta cierto punto.
Charles: Sí, absolutamente, tenemos múltiples capas en la forma en que hacemos las auditorías, primero tenemos un equipo que está dirigido por un profesor, es un investigador en seguridad y privacidad, también es vice-director del laboratorio de tecnología blockchain en la Universidad de Edimburgo. Dirige un equipo que hace una rutina casi continua de auditoría a fondo de todo lo que es desarrollo, están buscando la forma en que estamos implementando el código en comparación con los métodos formales y las pruebas que hemos escrito y básicamente asegurarse de que todo lo que que estamos haciendo es básicamente matemáticamente probado. Así que vamos de la prueba formal al código, si se implementa correctamente, asegurándonos de que la criptografía está en su lugar. Después que sale de ahí, por supuesto tenemos nuestro equipo de control de calidad que va a hacer pruebas de funcionalidad en cada pequeña liberación incremental que está por venir y asegurándose de que nuestros usuarios finales van a tener una buena experiencia con lo que están ejecutando, tan lejos como para no tener un problema con hacer clic en un botón y haya algo que no funcione ni nada como eso. Luego, por supuesto, después de eso, tenemos otra auditoría que es dirigida por mi equipo y lo que hacemos ahí es mirar todas las solicitudes de extracción que han estado en contra de los temas abiertos, miramos cuestiones pendientes que aún podrían estar ahí fuera que no hemos tenido la oportunidad para abordar todavía y echamos un vistazo a cualquier otra funcionalidad adicional que ha sido añadida desde la última auditoría que hemos hecho, la última gran auditoría que hemos hecho y así podemos tener una buena sensación de si lo que vamos a impulsar en una liberación incremental es bueno. Y luego, después de eso, es donde realmente venimos con la idea de tener la auditoría externa de terceros, cuando vamos a hacer la mayor liberación a nuestros usuarios finales y a nuestros socios y todo, queremos asegurarnos de que lo que sacamos por la puerta sea tan bueno como sea posible.
Tim: Supongo que el reinicio Byron fue una liberación muy significativa a su manera y Shelley será una liberación aún más significativa, así que una de las cosas que vino es esta diferencia entre pruebas estáticas y dinámicas, entiendo que fue una prueba estática con el reinicio Byron, cuéntanos un poco sobre eso y cómo se está formando.
Charles: Bien, las pruebas estáticas y dinámicas son básicamente lo que está siendo auditado, está bien, todo pertenece a mismo código base, en el análisis estático tienes expertos echando un vistazo a los lenguajes de programación, en la forma en que el código está escrito y la forma en que se llama, las rutinas que son utilizadas, todo desde cómo se gestionan tus llaves, el espacio de memoria, todo, pero realmente lo está mirando estáticamente, así que piénsalo como si casi podrías míralo, imprimirlo en un pedazo de papel, eso es lo que estás haciendo. Cuando hablas de auditorías dinámicas, es donde se pone un poco más interesante, no sólo están echando un vistazo a la porción estática del mismo, hacen eso inicialmente para asegurarse de que tienen una comprensión de cómo se supone que el sistema tiene que estar trabajando y luego encima de eso arrancan nodos en vivo, empiezan su propia red, básicamente su propia red de pruebas, para poder atacarlo como lo haría un hacker, intentan hacer pruebas de penetración, buscan vulnerabilidades, buscan resistencia a los ataques DDoS, cosas como esas. Así la auditoría dinámica es más del mundo real, así es como se ejecuta en la naturaleza, así es cómo los usuarios finales lo pueden esperar y así es como nos aseguramos de que realmente es segura.
Tim: Supongo que es a lo que probablemente nos dirigimos con Shelley, ¿hay otra auditoría en camino, qué lo que está pasando con eso?
Charles: Absolutamente, tenemos una a la que estamos solicitando propuestas ahora mismo para tener un buen agarre, estamos esperando que eso salga, hasta ahora estamos esperando que probablemente tome entre dos y tres meses y en realidad estamos esperando conseguir que esté hecha una pieza particular del código base y tiene que ver con la selección de pares en el nodo, así que una vez que tengamos eso en su lugar de hecho vamos a empezar esa próxima auditoría.
Tim: Estimo que están planeando compartir los resultados de eso también.
Charles: Absolutamente, la idea detrás de hacer auditorías de código realmente ayuda a sacar una mejor seguridad de que estamos poniendo un mejor producto ahí fuera. Tener un auditor que entre y mire lo que hemos hecho, ellos están poniendo su nombre y su reputación en la línea, diciendo sí, este es buen código, así que ponerlo ahí fuera, haciendo las auditorías es responsable, queremos mantener esa transparencia, así que pueden ver, esto es lo que fue auditado y esto es lo que se ha encontrado, estos eran los asuntos, así es como se mitigaron, esta es la respuesta final de los auditores, sí, todo lo que encontramos ha sido mitigado. Eso hace que la transparencia sea realmente posible, para que la gente vea que no estamos tratando de esconder algo bajo la alfombra, estamos arreglando cada asunto que encontramos tan rápido como podemos y estamos dando el mejor producto que podemos.
Tim: Fantástico, Charles, muchas gracias por unirte a nosotros, realmente lo apreciamos, saludos.