天才一秒记住【狂风中文网】地址:https://www.kfzw.net
沈南的话停在那里。
“如果他们在审查过程中注意到abyss的数据接口……“
她没有把后半句说完。
不是不敢说,是后半句不需要说完。
林彻听得懂,她也知道他听得懂。
办公室里安静了几秒钟。
窗外的风声很轻,十月的风比九月的干,桂花的甜味淡了很多,偶尔飘进来一丝,不仔细闻闻不到。
空调出风口嗡嗡响著,吹出来的冷气把桌面上函件的边角吹得微微翘起来。
林彻没有接她的话。
他问了一个不相关的问题。
“审查团队是谁组建的?“
沈南愣了一下。
她准备了一整套关於abyss审查风险的应对方案,蓝色文件夹里三页纸写得密密麻麻,第一页是风险描述,第二页是三个应对选项,第三页是每个选项的利弊分析和执行步骤。
她花了一整天做这份评估,中间查了四份央行公开的技术审查规范文件,还打了两个电话给微光的外部法律顾问確认合规口径。
她以为林彻会问“怎么处理“或者“能不能把接口剥离出去“。
他问的是审查团队是谁组建的。
“函件上写的是研究所指定团队,“沈南说,调整了一下思路,“我查了一下,上一次dcep相关的技术审查是去年做的,针对的是深圳试点的清算系统,当时的审查团队由研究所技术安全部牵头,成员包括央行信息中心的人和外聘的第三方安全审计机构。
“
“第三方是谁?“
“去年用的是普华永道的网络安全团队和中科院信息安全国家实验室,两家分工不同,普华永道负责代码级的安全漏洞扫描和渗透测试,中科院实验室负责加密算法的合规性验证。
“
林彻听著,没有打断。
(请记住1?1???.???网站,观看最快的章节更新)
“这两家的审查风格不太一样,“沈南说,她说到专业领域的时候语速会稍微快一点,但每个关键词都咬得很清楚,“普华永道偏商业审计思维,看的是有没有安全漏洞、有没有数据泄露风险,他们不太关心业务逻辑,只关心技术实现是不是安全的,中科院实验室偏学术思维,他们对新技术好奇,看到不认识的东西会多问几句。
“
“会多问几句。
“
“对,去年深圳试点的审查里,中科院那边的一个研究员对清算系统的共识机制追问了很多,不是觉得有问题,是单纯觉得有意思,想了解技术原理,后来那个研究员还写了一篇论文引用了审查中看到的部分技术方案,当然脱敏了。
“
“今年的第三方会换人吗?“
“不確定,函件上没有写具体的审查团队名单,只写了研究所指定团队,我通过外部律师问了一下,他的判断是今年大概率还是这两家,因为央行的供应商名录一旦进去了不会轻易换,但具体人员可能会变。
“
“他们审什么?“
沈南翻开文件夹,虽然这个问题的答案不在她的三页纸上,但她查过。
“去年的审查范围是支付清算模块的代码安全审计,重点看加密算法实现、密钥管理和交易数据的隔离机制,审查深度到代码级,但只看指定模块,不看全仓库,审查周期大概三周,实际工作时间十到十二天,剩下的时间写报告。
“
“指定模块。
“
本章未完,请点击下一章继续阅读!若浏览器显示没有新章节了,请尝试点击右上角↗️或右下角↘️的菜单,退出阅读模式即可,谢谢!