🇪🇸 ¡La auditoría está fuera! | CH 24 Abr 2020

:es: Transcripción al español de “Audit is out!”

Publicado en el canal de Youtube de Charles Hoskinson el 24 de Abril de 2020

Enlace a la versión doblada al español


Hola a todos, soy Charles Hoskinson transmitiendo en vivo desde la cálida y soleada Colorado, sólo quería hacer un rápido video, hablar con ustedes un poco sobre las últimas noticias del día, siempre tenemos cosas interesantes y geniales saliendo, hoy tuvimos el informe de auditoría de Root9b finalmente liberado, son tres archivos y he tuiteado el enlace, si van a nuestro depósito de github es auditoría externa IOHK, puedes ver tres PDFs disponibles para descargar, una de las descargas es el informe de auditoría en sí mismo, así que esto es básicamente lo que encontraron, es de unas once páginas de largo, la segunda es nuestra refutación al informe de auditoría y tiene unas 13 páginas y luego la tercera es la confirmación de la reparación. Generalmente, la forma en que se hace la auditoría de seguridad es que negociarás un alcance de la auditoría con el auditor, las técnicas que van a utilizar, las capacidades del adversario, el código particular que van a mirar, si es una auditoría estática o dinámica, este tipo de cosas. Entonces el auditor irá y realizará esa auditoría y generará un informe de auditoría, nos proporcionará ese informe de auditoría a nosotros y luego nos dan una oportunidad de escribir una refutación al informe de auditoría y aquí es donde nosotros o bien explicamos que no es una preocupación, decimos “hey, eso es correcto, lo arreglaremos” o decimos “hey, eso no es correcto y no vamos a arreglarlo”, esas son como las opciones con la refutación de una auditoría de seguridad. Luego escribimos eso y va al auditor, el auditor lo lee y luego el auditor dice que “está bien, si afirmas que que lo arreglaste, lo verificaremos” o dicen “no, todavía no estamos de acuerdo, pensamos que esto es un problema” y luego los tres los documentos están conectados entre sí y produces un comunicado público. Puedes tener grandes auditorías, puedes tener pequeñas auditorías, puedes gastar mucho dinero en estas cosas, cientos de miles de dólares, si no millones de dólares si quieres, pero generalmente sin importar si es grande o pequeña, así es como un informe de auditoría se lleva a cabo. Este fue la primera de esperemos muchas auditorías que vamos a hacer del lado de la seguridad para Cardano y la fundación se encargará de ello y eventualmente van a decidir una campaña de auditoría entre ahora y la conclusión de 2020. Pero hoy acabamos de pasar la primera y esta es en realidad la tercera vez que nuestro código ha sido auditado, la primera vez fue por un auditor llamado Grim, la segunda fue por un auditor suizo llamado Kadelski y esta ahora es la tercera auditoría realizada por Root9b y es costumbre rotar los auditores en una base regular, trae nuevas ideas y frescura, también agrega un poco de diversidad de pensamiento y también evita el estancamiento, así que Root9b es el auditor principal en este momento y sospecho que otros vendrán. Pero queríamos asegurarnos de que fuéramos tan transparentes como sea posible, hemos publicado los tres, se nos ha dado un certificado de buena salud para el alcance de esa auditoría en particular que hicieron y Charles Morgan irá en más detalles en la actualización del producto el 30 de Abril cuando hagamos eso en vivo, les proporcionará toda esa información a ustedes muchachos y revisará el informe de auditoría, como está escrito en ese repositorio, el repo de auditoría externa que pondré en la descripción de este video y también está disponible en nuestra página github, si le echas un vistazo a eso, ahí es donde vamos a poner no sólo esta auditoría y hemos puesto esta auditoría, pero las futuras auditorías que se realizarán.

Ahora, puedes hacer otras auditorías también, auditorías de proceso, de documentación, más allá de las auditorías de seguridad, por ejemplo, comenzaremos una conversación entre los técnicos de la Fundación Cardano y nuestros ingenieros sobre lo que es razonable para tener una supervisión y proporcionar un poco de examen por terceros. En particular estoy bastante interesado en montar un equipo para la documentación sobre Cardano, así que mientras lanzamos Shelley vamos a publicar un montón de documentación actualizada para Shelley y ya estás empezando a ver algo de ese goteo, por ejemplo la documentación beta de Adrestia para el listado de intercambiadores, así que eso es sólo uno de los muchos componentes que tienen que estar claramente documentados y tenemos a Rob Cohen y otros que trabajan muy duro en básicamente asegurarse de que lo hacemos en el alcance para el lanzamiento de Shelley. Pero la documentación es sólo tan buena como aquellos que consumen documentación, así que sería muy agradable asegurarse de que tenemos formado un equipo rojo adecuado y que la gente sea capaz de hacernos saber dónde tenemos deficiencias en nuestra documentación y donde podemos explicar las cosas de forma un poco más limpia y clara o si hay contradicciones o agujeros, por ejemplo, en la documentación.

Hay otras cosas que pueden verse, como por ejemplo la calidad del código, como he mencionado repetidamente, nuestra calidad de código, yo siento, es la mejor en industria y esto es porque estamos utilizando técnicas y procesos que nadie más en la industria está usando, así que sería interesante conseguir algunas validaciones de terceros de eso, puedes mirar quién está usando Quick Check y quién está usando especificaciones formales y estas cosas y es obvio que no hay mucha gente alrededor haciendo eso y ya que estamos siguiendo ese proceso parecería razonable decir que tenemos la más alta calidad, pero sería bueno alguna validación independiente, por lo que este es otro ejemplo de una auditoría que podría estar en el alcance. Así que estas son cosas sobre las que nosotros y la Fundación Cardano tendremos algunas discusiones en adelante para ver cuánto podemos saturar en el exterior el repo de auditoría para la validación de terceros. Pero en general la estrategia siempre ha sido el uso de la ciencia, revisión por pares, esa es la validación de terceros más fiable de que la ciencia es correcta. Para el código, asegúrate primero de que claramente y sin ambigüedades escribiste lo que quieres hacer y es por eso que tenemos especificaciones formales y luego usar técnicas formales para asegurar que el código es de alta calidad. Luego, externamente, al menos asegurarse que desde una perspectiva de seguridad el código ha sido examinado por profesionales dedicados y Root9b es una gran compañía, así como Kadelski y Grimm cuando estaban allí y Root9b ciertamente tiene gente más que talentosa que puede entender tanto el código Haskell pero también entender seguridad operacional, nivel de seguridad de código, todo tipo de cosas que realmente te importarían mucho cuando estás pensando en cómo desplegar estas cosas en la práctica y cómo la gente sería capaz de atacar los sistemas. Así que fue genial trabajar con ellos y nos encantaría trabajar con cualquier auditor, independientemente de quién sea seleccionado, y vamos a trabajar muy de cerca con la fundación para asegurarnos de que mantenemos este impulso y absolutamente asegurarnos de que Cardano es el estándar de la industria, entonces, en todo otro proyecto, donde la gente posee tokens en esos proyectos, comenzarán a exigir los mismos niveles de calidad y garantías que Cardano tiene. Gracias por escuchar y les recomiendo encarecidamente que tomen una mirada al informe de auditoría y también asistir a la actualización de producto el día 30, está a sólo seis días, un montón de cosas buenas van a estar ahí, casi todo el mundo estará hablando, algunas novedades Shelley ahí, así que van a haber muchas cosas buenas ahí y este es un tema que es cercano y querido para mi corazón porque es una validación del trabajo que hemos hecho y realmente muestra que si podemos aprobar una auditoría de seguridad tan rápidamente, que la calidad del código es muy alta, así que echa un vistazo a estas cosas y asiste a la actualización de producto en seis días, gracias a todo el mundo, cuídense.

1 Like