"今年的第三方会换人吗?"
"不确定" />
究员还写了一篇论文引用了审查中看到的部分技术方案,当然脱敏了。"
"今年的第三方会换人吗?"
"不确定,函件上没有写具体的审查团队名单,只写了'研究所指定团队',我通过外部律师问了一下,他的判断是今年大概率还是这两家,因为央行的供应商名录一旦进去了不会轻易换,但具体人员可能会变。"
"他们审什么?"
沈南翻开文件夹,虽然这个问题的答案不在她的三页纸上,但她查过。
"去年的审查范围是支付清算模块的代码安全审计,重点看加密算法实现、密钥管理和交易数据的隔离机制,审查深度到代码级,但只看指定模块,不看全仓库,审查周期大概三周,实际工作时间十到十二天,剩下的时间写报告。"
"指定模块。"
"对,由研究所指定需要审查的模块范围,不是审查团队自己决定看什么,去年指定的是三个模块:发行清算、钱包管理、交易记录,审查团队只有权限进入这三个模块的代码仓库,其他模块看不到。"
林彻没说话,他的手指在桌面上轻轻敲了两下,不是有节奏的敲,是无意识的动作,像在想什么。
沈南等了两秒,继续说:
"如果这次的审查范围跟去年一样,重点在支付清算模块,那AbySS的接口不一定会被看到,信用购的风控评分模块不在支付清算的核心路径里,它是在支付完成之后的风控环节才被调用的,属于后置模块,审查团队如果只看支付链路本身,不一定会追到后置环节的调用链。"
"不一定。"
"对,不一定,这是概率问题,不是确定性问题。"
沈南的声音很平,她说这种话的时候语速会慢一点。
"如果审查范围扩大,或者审查团队里有人比较好奇,顺着调用链往下追了一层,就会看到AbySS-CreditSCOre-v3.2这个接口名,看到了之后会怎么样,取决于他们怎么理解这个接口的功能,最好的情况是觉得是正常的风控组件,记录一下跳过,最坏的情况是觉得数据聚合能力异常,要求单独审查AbySS的数据来源和处理逻辑。"
"最坏的情况概率多大?"
沈南想了一下,她不是在想答案,答案她昨天已经算过了,她是在想怎么措辞。
"如果审查范围不变,只看支付清算模块,20%以下,如果扩大到全模块或者包含风控环节,50%以上,中间还有
…。。