cryptofoundry サービス
セキュリティ、レビュー、強化
暗号バックエンド向けのソフトウェアセキュリティ監査、依存関係レビュー、API キー安全性、インフラ強化。
暗号インフラを10年間運用してきた経験に基づくセキュリティ業務 — チェックボックス型コンプライアンスの見せかけではありません。暗号システムが実際に出血する箇所をレビューします。鍵の取り扱い、依存関係チェーン、「動く」と「安全に失敗する」の間のギャップ。
レビュー対象
- アプリケーションおよび Node.js 暗号バックエンドコード。資金に触れるパスを優先
- 依存関係ツリーとサプライチェーン:インストールスクリプト、タイポスクワット、ピン留めされていないバージョン、放棄されたパッケージ
- API および取引所キーの取り扱い:権限、保存、ローテーション、誰が読めるか
- シークレット管理:環境変数漏洩、ログ、CI 変数、バックアップ露出
- インフラとネットワーク露出:何がリッスンしているか、公開すべきでないものが公開されていないか
- CI/CD とデプロイパス:誰が何をプッシュでき、お金を動かすコードを
- ログと監視:侵害に気づけるかどうか
レビューの進め方
- 脅威モデルを最初に。 1セッションで攻撃者がシステムから実際に何を求めるかをマッピング — ホットウォレットの流出、鍵窃取、注文操作 — レビュー深度はファイル順ではなく実リスクに従う
- レビュー。 暗号バックエンドを出荷するエンジニアによる手動コード・設定レビュー。ツールで支援するが、スキャナーダンプに還元しない
- レポート。 悪用可能性と影響度でランク付けされた所見。各所見に具体的な修正 — ファイル、行、推奨変更。「セキュリティ改善を検討」ではない
- 修正検証。 チーム(または私たち)がパッチ適用後、所見を再確認し、書面でクロージャーを確認
なぜこのチームか
セキュリティに敏感な ADAMANT インフラを創設し、今も運用しています — 敵対的環境で数年間稼働してきたウォレット、ノード、ボット、決済フロー。所見は汎用 AppSec テンプレートではなく、運用経験から生じます。
販売しないもの
ゴム印の証明書、恐怖に基づくアップセル、鍵のカストディ。システムが良好な状態なら、レポートはそう述べます — 正直で短いレポートは、水増しされたものより良い結果です。
ここから始める
ワークフローを説明してください — エンジニアリングの視点で応答します。