La Semaine internationale de la blockchain de Shanghai 2023 · Sommet mondial sur la blockchain organisé par le Wanxiang Blockchain Lab s'est ouvert aujourd'hui. Parmi les invités figurent Xiao Feng, président de Wanxiang Blockchain, et Qiu Dagen, membre du Conseil législatif de la région administrative spéciale de Hong Kong (Cercle de l'innovation technologique), Hong Kong Cyberport Management Co., Ltd., PDG Ren Jingxin, etc. **En tant que principale agence de sécurité Web3 du secteur, CertiK a participé à la table ronde du sommet « Web3 Cornerstone : sécurité et confidentialité ». **Le professeur Li Kang, responsable de la sécurité de CertiK, a activement discuté avec des représentants d'autres institutions de sécurité Web3 de la manière de créer un avenir Web3 plus sécurisé.
Le contenu suivant est la transcription du discours de la table ronde du professeur Li Kang :
hôte:
Que pensez-vous du développement actuel de l'industrie du Web3, ainsi que du positionnement et de l'importance de la sécurité et de la confidentialité du Web3 dans le développement de l'industrie du Web3 ?
Professeur Li Kang :
L’ensemble de l’industrie du Web3 en est à ses débuts, mais c’est aussi une étape de développement. Pour les utilisateurs, la convivialité du Web3 peut encore être améliorée. Parce que l'industrie du Web3 est encore très fragmentée, tout le monde construit dans tous les coins et essaie de développer une très large gamme d'applications populaires, mais elle en est encore au stade exploratoire.
Pour les développeurs, le Web3 est entré dans une phase bien meilleure qu’il y a cinq ans. En tant que développeur, il existe désormais de nombreuses plateformes et outils disponibles, et tout le monde commence à construire, et il y a même une étape de compétition entre les meilleurs. Pour les développeurs, cela n’en est qu’à ses débuts, mais cela a déjà commencé.
**Notre consensus est que le Web3 doit être sécurisé. **Si le formulaire décentralisé n'est pas protégé par la sécurité, le public n'a aucun moyen de l'utiliser. S’il n’existe aucun moyen d’éliminer le faux et de préserver le réel, de séparer les projets de haute qualité des projets de mauvaise qualité et de séparer les projets sûrs des projets dangereux, la communauté ne peut pas se développer, c’est pourquoi je pense que la sécurité est indispensable.
hôte:
Selon vous, quelles sont les expériences pratiques réussies et les pistes matures en matière de sécurité et de confidentialité du Web3 ? Et comment voyez-vous le développement futur de ces industries et de ces pistes ?
Professeur Li Kang :
D'autres invités ont parlé de cette piste du point de vue de l'utilisateur et de la réglementation, et je suis fondamentalement d'accord. Je regarde cette piste sous un autre angle : par exemple, à partir du cycle de vie d'un projet, des audits sont souvent effectués avant la mise en ligne du projet, et des mises à jour sont également nécessaires après la mise en ligne du projet. Mais la partie avant la mise en ligne est la piste de service d'audit qui est souvent effectuée. Tout le monde reconnaît qu'il y a une telle demande pour cette partie. Quelle valeur apporte-t-elle ? Que cette piste soit bonne ou non est une autre affaire. Il y a également un suivi après la mise en ligne : lorsque le projet en ligne est en cours d'exécution, quels types de transactions sont effectués ? Y a-t-il un risque ?
Il existe une autre piste, celle de la réponse après l'incident. CertiK fait également cela, en vous aidant à découvrir ce qui se passe et à courir après l'argent. Il existe différentes dimensions, notamment l'audit avant la mise en ligne du projet, la surveillance après la mise en ligne du projet, ainsi que le suivi et la récupération après l'incident.
hôte:
Selon vous, quel est le plus grand défi actuel en matière de sécurité et de confidentialité du Web3 ? Et comment ces défis devraient-ils être relevés ?
Professeur Li Kang :
Les défis sont nombreux, en voici deux.
Premièrement, nous ne pouvons pas blâmer les utilisateurs pour leur sensibilisation à la sécurité. Le plus grand défi est le manque de sensibilisation à la sécurité parmi les développeurs Web3 actuels. **D'après ma compréhension et mon expérience personnelles, les développeurs des grandes entreprises Web2, qu'elles soient nationales ou étrangères, attachent une grande importance à la sensibilisation à la sécurité. Il y a 15 ans, peut-être que les développeurs pouvaient écrire des programmes sans prêter attention à la sécurité, mais c'est désormais impossible dans une grande usine. Les programmeurs qui continuent de ne pas prêter attention au développement de la sécurité auront du mal à être éliminés en un quart dans une grande usine. .
Dans le Web3, de nombreux développeurs étrangers sont des étudiants qui viennent d'obtenir leur diplôme (ou même pas diplômés), et de nombreuses personnes ont changé de carrière. La sensibilisation globale au développement et à la sécurité est très insuffisante. Pour donner un autre exemple à l'appui, Immunify a récemment publié les dix principaux problèmes de sécurité qu'ils ont trouvés sur le bug bounty. Le plus gros problème est qu'il n'y a aucun contrôle de sécurité sur l'entrée du programme. La communauté des développeurs doit se développer, les développeurs doivent donc être conscients de la sécurité.
Deuxièmement, tant les responsables que tous les acteurs du projet n'ont pas une sensibilisation suffisante à la sécurité. Par exemple, 80 % des projets qui ont eu des incidents sur Rekt News n'ont pas été audités. Je suis également tout à fait d'accord avec l'examen précédent. L'audit *** mentionné par le client ne résoudra pas nécessairement tous les problèmes de sécurité ***. Mais il vaut bien mieux le faire que ne pas le faire. ****
Il y a encore des gens dans l’écosystème qui pensent que la sécurité est quelque chose qui peut être résolu une fois pour toutes avec un seul produit ou service. Si j'achète votre produit ou si j'utilise notre audit, il sera sûr. Il considère la sécurité comme une solution ponctuelle qui peut être résolue simplement en achetant un produit. Ce n’est plus le cas dans le Web2 : la sécurité est une gestion des risques et un investissement à long terme. **Si vous ne changez pas ces deux points, il sera difficile d'avancer, donc les deux plus grands défis doivent être surmontés.
Vous investissez, mais en raison de l’asymétrie d’attaque et de défense, les hackers ont toujours plus d’avantages. Pourquoi devez-vous être en sécurité à votre retour ? Parce que la sécurité ne veut pas dire que je peux garantir que le risque sera réduit à zéro. La sécurité signifie que vous pouvez courir plus vite que vos concurrents. Si un ours vous poursuit, vous n'êtes pas nécessairement obligé de courir plus vite que l'ours, mais il faut être plus rapide que la concurrence, les adversaires courent plus vite, c'est un changement de philosophie.
hôte:
Selon vous, quelle est la relation entre le développement de l’IA et du Web3 ? De quelle aide et de quelle imagination l'IA a-t-elle pour la sécurité et la confidentialité du Web3 ?
Professeur Li Kang :
Premièrement, l’utilisation la plus discutée de l’IA en matière de sécurité consiste à utiliser des méthodes d’IA pour découvrir les problèmes de sécurité du code et faciliter le travail d’audit. Cette partie a été beaucoup discutée, je n’y reviendrai donc pas ici.
Deuxièmement, **AIGC peut être une direction très prometteuse en combinaison avec Web3, mais la propriété du contenu doit être protégée par la blockchain et le rôle de la sécurité est très important. **Si le public croit que l'IA peut générer des données et les combiner avec du contenu Web3, une protection de sécurité est indispensable.
hôte:
En tant que responsable et responsable technique, de quels types de talents pensez-vous que la sécurité Web3 a besoin, et comment les praticiens de la sécurité Web2 devraient-ils entrer dans le domaine de la sécurité Web3 ?
Professeur Li Kang :
Si vous êtes bon en sécurité Web2, alors allez-y, car il y a suffisamment de problèmes et les adversaires que vous rencontrez sont les mêmes que ceux du Web2. Ils vous attaquaient dans le Web2, mais maintenant ils sont dans le Web3. , alors venez sur.
Avec le développement continu de la technologie Web3, les perspectives de sécurité du Web3 recevront de plus en plus d'attention. Bien qu'il reste encore de nombreux défis à relever, CertiK continuera à offrir aux développeurs et aux utilisateurs une meilleure expérience de sécurité et à promouvoir le développement et la vulgarisation de l'industrie Web3.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
CertiK Wanxiang Summit Express : Web3 doit être sécurisé
La Semaine internationale de la blockchain de Shanghai 2023 · Sommet mondial sur la blockchain organisé par le Wanxiang Blockchain Lab s'est ouvert aujourd'hui. Parmi les invités figurent Xiao Feng, président de Wanxiang Blockchain, et Qiu Dagen, membre du Conseil législatif de la région administrative spéciale de Hong Kong (Cercle de l'innovation technologique), Hong Kong Cyberport Management Co., Ltd., PDG Ren Jingxin, etc. **En tant que principale agence de sécurité Web3 du secteur, CertiK a participé à la table ronde du sommet « Web3 Cornerstone : sécurité et confidentialité ». **Le professeur Li Kang, responsable de la sécurité de CertiK, a activement discuté avec des représentants d'autres institutions de sécurité Web3 de la manière de créer un avenir Web3 plus sécurisé.
Le contenu suivant est la transcription du discours de la table ronde du professeur Li Kang :
hôte:
Que pensez-vous du développement actuel de l'industrie du Web3, ainsi que du positionnement et de l'importance de la sécurité et de la confidentialité du Web3 dans le développement de l'industrie du Web3 ?
Professeur Li Kang :
L’ensemble de l’industrie du Web3 en est à ses débuts, mais c’est aussi une étape de développement. Pour les utilisateurs, la convivialité du Web3 peut encore être améliorée. Parce que l'industrie du Web3 est encore très fragmentée, tout le monde construit dans tous les coins et essaie de développer une très large gamme d'applications populaires, mais elle en est encore au stade exploratoire.
Pour les développeurs, le Web3 est entré dans une phase bien meilleure qu’il y a cinq ans. En tant que développeur, il existe désormais de nombreuses plateformes et outils disponibles, et tout le monde commence à construire, et il y a même une étape de compétition entre les meilleurs. Pour les développeurs, cela n’en est qu’à ses débuts, mais cela a déjà commencé.
**Notre consensus est que le Web3 doit être sécurisé. **Si le formulaire décentralisé n'est pas protégé par la sécurité, le public n'a aucun moyen de l'utiliser. S’il n’existe aucun moyen d’éliminer le faux et de préserver le réel, de séparer les projets de haute qualité des projets de mauvaise qualité et de séparer les projets sûrs des projets dangereux, la communauté ne peut pas se développer, c’est pourquoi je pense que la sécurité est indispensable.
hôte:
Selon vous, quelles sont les expériences pratiques réussies et les pistes matures en matière de sécurité et de confidentialité du Web3 ? Et comment voyez-vous le développement futur de ces industries et de ces pistes ?
Professeur Li Kang :
D'autres invités ont parlé de cette piste du point de vue de l'utilisateur et de la réglementation, et je suis fondamentalement d'accord. Je regarde cette piste sous un autre angle : par exemple, à partir du cycle de vie d'un projet, des audits sont souvent effectués avant la mise en ligne du projet, et des mises à jour sont également nécessaires après la mise en ligne du projet. Mais la partie avant la mise en ligne est la piste de service d'audit qui est souvent effectuée. Tout le monde reconnaît qu'il y a une telle demande pour cette partie. Quelle valeur apporte-t-elle ? Que cette piste soit bonne ou non est une autre affaire. Il y a également un suivi après la mise en ligne : lorsque le projet en ligne est en cours d'exécution, quels types de transactions sont effectués ? Y a-t-il un risque ?
Il existe une autre piste, celle de la réponse après l'incident. CertiK fait également cela, en vous aidant à découvrir ce qui se passe et à courir après l'argent. Il existe différentes dimensions, notamment l'audit avant la mise en ligne du projet, la surveillance après la mise en ligne du projet, ainsi que le suivi et la récupération après l'incident.
hôte:
Selon vous, quel est le plus grand défi actuel en matière de sécurité et de confidentialité du Web3 ? Et comment ces défis devraient-ils être relevés ?
Professeur Li Kang :
Les défis sont nombreux, en voici deux.
Premièrement, nous ne pouvons pas blâmer les utilisateurs pour leur sensibilisation à la sécurité. Le plus grand défi est le manque de sensibilisation à la sécurité parmi les développeurs Web3 actuels. **D'après ma compréhension et mon expérience personnelles, les développeurs des grandes entreprises Web2, qu'elles soient nationales ou étrangères, attachent une grande importance à la sensibilisation à la sécurité. Il y a 15 ans, peut-être que les développeurs pouvaient écrire des programmes sans prêter attention à la sécurité, mais c'est désormais impossible dans une grande usine. Les programmeurs qui continuent de ne pas prêter attention au développement de la sécurité auront du mal à être éliminés en un quart dans une grande usine. .
Dans le Web3, de nombreux développeurs étrangers sont des étudiants qui viennent d'obtenir leur diplôme (ou même pas diplômés), et de nombreuses personnes ont changé de carrière. La sensibilisation globale au développement et à la sécurité est très insuffisante. Pour donner un autre exemple à l'appui, Immunify a récemment publié les dix principaux problèmes de sécurité qu'ils ont trouvés sur le bug bounty. Le plus gros problème est qu'il n'y a aucun contrôle de sécurité sur l'entrée du programme. La communauté des développeurs doit se développer, les développeurs doivent donc être conscients de la sécurité.
Deuxièmement, tant les responsables que tous les acteurs du projet n'ont pas une sensibilisation suffisante à la sécurité. Par exemple, 80 % des projets qui ont eu des incidents sur Rekt News n'ont pas été audités. Je suis également tout à fait d'accord avec l'examen précédent. L'audit *** mentionné par le client ne résoudra pas nécessairement tous les problèmes de sécurité ***. Mais il vaut bien mieux le faire que ne pas le faire. ****
Il y a encore des gens dans l’écosystème qui pensent que la sécurité est quelque chose qui peut être résolu une fois pour toutes avec un seul produit ou service. Si j'achète votre produit ou si j'utilise notre audit, il sera sûr. Il considère la sécurité comme une solution ponctuelle qui peut être résolue simplement en achetant un produit. Ce n’est plus le cas dans le Web2 : la sécurité est une gestion des risques et un investissement à long terme. **Si vous ne changez pas ces deux points, il sera difficile d'avancer, donc les deux plus grands défis doivent être surmontés.
Vous investissez, mais en raison de l’asymétrie d’attaque et de défense, les hackers ont toujours plus d’avantages. Pourquoi devez-vous être en sécurité à votre retour ? Parce que la sécurité ne veut pas dire que je peux garantir que le risque sera réduit à zéro. La sécurité signifie que vous pouvez courir plus vite que vos concurrents. Si un ours vous poursuit, vous n'êtes pas nécessairement obligé de courir plus vite que l'ours, mais il faut être plus rapide que la concurrence, les adversaires courent plus vite, c'est un changement de philosophie.
hôte:
Selon vous, quelle est la relation entre le développement de l’IA et du Web3 ? De quelle aide et de quelle imagination l'IA a-t-elle pour la sécurité et la confidentialité du Web3 ?
Professeur Li Kang :
Premièrement, l’utilisation la plus discutée de l’IA en matière de sécurité consiste à utiliser des méthodes d’IA pour découvrir les problèmes de sécurité du code et faciliter le travail d’audit. Cette partie a été beaucoup discutée, je n’y reviendrai donc pas ici.
Deuxièmement, **AIGC peut être une direction très prometteuse en combinaison avec Web3, mais la propriété du contenu doit être protégée par la blockchain et le rôle de la sécurité est très important. **Si le public croit que l'IA peut générer des données et les combiner avec du contenu Web3, une protection de sécurité est indispensable.
hôte:
En tant que responsable et responsable technique, de quels types de talents pensez-vous que la sécurité Web3 a besoin, et comment les praticiens de la sécurité Web2 devraient-ils entrer dans le domaine de la sécurité Web3 ?
Professeur Li Kang :
Si vous êtes bon en sécurité Web2, alors allez-y, car il y a suffisamment de problèmes et les adversaires que vous rencontrez sont les mêmes que ceux du Web2. Ils vous attaquaient dans le Web2, mais maintenant ils sont dans le Web3. , alors venez sur.
Avec le développement continu de la technologie Web3, les perspectives de sécurité du Web3 recevront de plus en plus d'attention. Bien qu'il reste encore de nombreux défis à relever, CertiK continuera à offrir aux développeurs et aux utilisateurs une meilleure expérience de sécurité et à promouvoir le développement et la vulgarisation de l'industrie Web3.