Définitions des conditions de fonctionnement du comité de sécurité

Sylvain Leroux

Yohann76 Perhaps we should include a minimum number of REG to hold (500 or 600 for now) to participate in this committee (in order to strengthen trust, as the actors taking part in this committee will also have taken risks with their REG)?

🇫🇷
Un nombre minimum de REG est-il requis pour siéger au comité, et ces REG sont-ils bloqués pour la durée du mandat ? Combien? Yohann suggère 500 ou 600.

Y a-t-il d'autres preuves de confiance que nous pourrions envisager ?

🇺🇸
Is there a minimum number of REGs required to sit on the committee, and are these REGs locked in for the duration of the term? How many? Yohann suggested 500 or 600.

Are there other proofs of trust we may consider?

Michael-RealT

Sylvain Leroux Y a-t-il d'autres preuves de confiance que nous pourrions envisager ?

il faut voir se que la personne a a perdre en cas de hack.
Bloquer c'est bien mais dans ce cas ol faut définir tout les critère qui vont autours, a quelle moment c'est libérer dans quelles cas ils peux etre slash, quelle es le processus pour activé cette démarche, quelles sont les déclencheur

CyberSapyen

Sylvain Leroux Plus que le nombre de REG, leur durée de détention, le % d'utilisation dans la pool, et l'absence de vente / achat à tout va seraient des indicateurs témoignant de l'engagement du candidat.

Sylvain Leroux

Yohann76 I think we should do a vote by candidate, this will make the process a bit longer and more tedious, but it will strengthen the trust that the community will have towards the committee members.

🇺🇸
I also think we should aim for one election per candidate.

That triggers organizational challenges, though: will the new committee members be active as soon as they are elected? Or should we elect them "in advance" so they will all start (and stop) assuming their duty on the same date?

There is also the question of renewal. Should we renew the committee members all at once, by a third, or by half?

Still, for renewal, will there be a mentoring period during which the newly elected members can participate but without power of action?

🇫🇷
Je pense également que nous devrions viser une élection par candidat.

Mais cela pose des problèmes d'organisation : les nouveaux membres de la commission seront-ils actifs dès leur élection ? Ou devrions-nous les élire « à l'avance » afin qu'ils commencent (et cessent) tous d'assumer leurs fonctions à la même date ?

Il y a aussi la question du renouvellement. Faut-il renouveler les membres du comité en une seule fois, par tiers ou par moitié ?

Toujours pour le renouvellement, y aura-t-il une période de tutorat pendant laquelle les nouveaux élus pourront participer mais sans pouvoir d'action ?

À revoir si pas de réponse. Sondage?

Sylvain Leroux

Sylvain Leroux Yohann76 I think we should do a vote by candidate, this will make the process a bit longer and more tedious, but it will strengthen the trust that the community will have towards the committee members.

🇺🇸
I also think we should aim for one election per candidate.

🇺🇸
I that have second thoughts about that idea, @Yohann76

For v1, I propose opening N concurrent votes (one per candidate) with the simple question, "Do you want him/her" as a security committee member?"

At the end of the voting period, the 10 candidates with the most "Yes" will be elected.
A tie for the last position will be resolved at the discretion of the already-elected members.

🇫🇷
J'ai repensé à cette idée, @Yohann76

Pour la v1, je propose d'ouvrir N votes simultanés (un par candidat) avec la simple question, « Voulez-vous qu'il/elle » soit membre du comité de sécurité ?"

A la fin de la période de vote, les 10 candidats ayant le plus de « Oui » seront élus.
En cas d'égalité pour le dernier poste, les membres déjà élus décideront s'il y a lieu de les départager.

Mise à jour de la suggestion ✔️

Sylvain Leroux

Yohann76 The possibility of compensating members for their time and commitment

I think it's a good idea to compensate committee members in REG, this will help

🇺🇸
Compensation in REGs seems the most logical if we accept the idea. But how much? And when?

I would opt for a predetermined (known in advance) fixed (whether or not there were incidents) amount the community members could claim a few weeks or months after the end of their mandate.

🇫🇷
Si l'on accepte l'idée, la compensation sous forme de REG semble la plus logique. Mais quel montant ? Et quand ?

J'opterais pour un montant prédéterminé (connu à l'avance) et fixe (incident ou pas) que les membres de la communauté pourraient réclamer quelques semaines ou mois après la fin de leur mandat.

À revoir si pas de réponse. Proposer un sondage?

Sylvain Leroux

Yohann76 In-depth expertise in blockchain and smart contracts, with the ability to demonstrate/analyze/understand potential vulnerabilities

spK Encore trop novice dans l'univers blockchain pour y être légitime, si la "formation" proposée ne comporte pas de confidentialité particulière je reste intéressé pour peut-être un jour assumé mon tour de garde viendra !

Sylvain Leroux il faudrait voir avec ~~@Michael-RealT~~ les autres membres de la DAO pour clarifier le niveau exact d’expertise requis.

🇺🇸
We haven't clarified the required technical level to participate in the committee. For example, are web3 programming skills a necessity? How do we assess whether the candidate has the "minimum required skills"?

Based on Yohann's comment, we seek IT people with web3 security and forensic analysis skills.

Will it be the voter's responsibility to decide whether a candidate has or not the required skills?

By the way, will the community be responsible for further incident investigation, or will their sole role be to press the "stop" button in an emergency?

🇫🇷
Nous n'avons pas précisé le niveau technique requis pour participer au comité. Par exemple, des compétences en programmation web3 sont-elles nécessaires ? Comment évaluer si le candidat possède les « compétences minimales requises » ?

D'après le commentaire de Yohann, nous recherchons des informaticiens ayant des compétences en matière de sécurité web3 et d'analyse après incident.

Sera-t-il de la responsabilité des électeurs de décider si un candidat possède ou non les compétences requises ?

Par ailleurs, la communauté sera-t-elle responsable des enquêtes complémentaires sur les incidents, ou son seul rôle sera-t-il d'appuyer sur le bouton « stop » en cas d'urgence ?

Michael-RealT

Sylvain Leroux Nous n'avons pas précisé le niveau technique requis pour participer au comité. Par exemple, des compétences en programmation web3 sont-elles nécessaires ? Comment évaluer si le candidat possède les « compétences minimales requises » ?

D'après le commentaire de Yohann, nous recherchons des informaticiens ayant des compétences en matière de sécurité web3 et d'analyse après incident.

Sera-t-il de la responsabilité des électeurs de décider si un candidat possède ou non les compétences requises ?

Par ailleurs, la communauté sera-t-elle responsable des enquêtes complémentaires sur les incidents, ou son seul rôle sera-t-il d'appuyer sur le bouton « stop » en cas d'urgence ?

au vue de la taille actuel réunir 10 candidat sera déjà un grand défi, a mon avis il ne faut pas mettre la barre plus haut que d'utile.
pour répondre clairement a la question des compétences, il faut en premier répondre a la question du cahier des charge du role pour les 6 a 12 mois a avenir.
La priorité a mon avis c'est de sécurisé les protocoles, et donc de pouvoir appuyer sur la tx d'urgence, tout se qui viens s'ajouter n'es qu'amélioration qui peux venir plus tard.
Si ont part sur la mission première est de stopper un hack, les critère sont relativement simple a définir:

disponibilité ou capacité a se rendre disponible pour signer une tx
capacité a exécuté une tx depuis Gnosisscan sans tuto
compréhension pousse de se que c'est qu'une tx, un safe, un SC
s’intéresser a la sécurité et suivre les news sur le sujet

dans la plus part des hacks les alerte sont soit donné par des bot qui scan les action suspect soit par des user qui constate une incohérence dans les données d'interface
j'ai rarement entendu parler qu'un comité a détecter le hack en cours

Dans le future peut-être que le comité de sécurité aura des compétence importante en sécurité et pourrais être charger de faire des audites, des tentative de hack préventif.

Sylvain Leroux

Sylvain Leroux Ici encore , consensus sur la maîtrise des Gnosis Safe qui semble une compétence requise.

Sylvain Leroux Tous les membres devront être à l'aise avec un explorateur de blocs type GnosisScan et être capable d'identifier un éventuel problème ou dysfonctionnement.

Je pense qu'il y a un consensus sur ce point.

Sylvain Leroux Toujours pour ma part, je pense que la première question qu’un candidat doit se poser est celle de sa disponibilité, avant même celle de ses compétences techniques. Les compétences peuvent toujours être mises à jour, mais si l’emploi du temps ne permet pas d’assumer la fonction, cela devient un obstacle difficilement surmontable.

🇫🇷

Compétence requises

Nous définissons les compétences suivantes comme requises:

Être capable d'utiliser un Gnosis Safe pour signer et exécuter des transactions multi-signatures ✔️
Être capable d’utiliser un explorateur de bloc type GnosisScan pour suivre un transaction ✔️
Être disponible pour réagir en cas d'alerte ✔️

Par contre, je vois beaucoup d'autres remarques au sujet de compétence requises. Je crois les avoir tous passé en revue, mais si j'ai oublié des messages, merci de me le signaler:

🇺🇸

Skill requirements

We define the following skills as required:

Proficient in using Gnosis Safe to sign and execute multi-signature transactions ✔️
Proficient in using a GnosisScan-type block explorer to track a transaction ✔️
Be available to react in the event of an alert ✔️

On the other hand, I see a lot of other remarks about required skills. I think I've covered them all below, but if I've missed any, please let me know:

Yohann76 I think we need to find a balance between the required skills and the number of people. If we ask for certifications or other highly selective evidence, we will limit the number of candidates. Conversely, if we are not too demanding, we can hope for a few more candidates.

PhilP critères d'éligibilité (jusqu'à une douzaine dans certains messages), pas contraignants mais à renseigner lors de la candidature (sur le forum).

Sylvain Leroux Nous n'avons pas précisé le niveau technique requis pour participer au comité. Par exemple, des compétences en programmation web3 sont-elles nécessaires ? Comment évaluer si le candidat possède les « compétences minimales requises » ?

CyberSapyen Une Certification blockchain validée par un organisme sérieux & reconnu est aussi à mon sens une preuve du sérieux d'un potentiel candidat.

CyberSapyen l'absence de vente / achat à tout va seraient des indicateurs témoignant de l'engagement du candidat.

Yohann76 Technical Criteria:

In-depth expertise in blockchain and smart contracts, with the ability to demonstrate/analyze/understand potential vulnerabilities
Mastery of Gnosis Safe for multi-signature transactions
Advanced understanding of DeFi security protocols and common attack vectors

Behavioral Criteria:

Strategic Communicator: Ability to write clear and concise reports on emergency situations, and communicate effectively with the team and community
Technology Watchdog: Commitment to staying constantly informed about the latest blockchain security trends and threats
Social Media Monitoring: Active presence on crypto ecosystem social networks to detect protocol hacks

Operational Criteria:

24/7 Availability: Ability to respond quickly to emergencies, regardless of the time
Geographic Distribution: Residence in a time zone complementary to those of other members to ensure global coverage
Schedule Flexibility: Willingness to participate in emergency meetings at unusual hours if necessary

Personal Criteria:

Continuous Learning: Commitment to regular training on the latest blockchain security practices
Mentorship: Willingness to share knowledge with other committee members and the Realtoken community
Holding a minimum of REG (?)

Sylvain Leroux Pensez-vous qu'il faut demander des références ou des preuves de compétence quelconques? Il faut aussi que ce soit vérifiable. Par ex. une preuve de participation active sur le Telegram DAO peut sans doute se vérifier facilement. La validité du suivi d'un cours "sécurité blockchain" sur YouTube, moins.

🇫🇷
Gardez en tête:

que si une compétence est requise, il faut que l'on soit en capacité de la valider.
que plus nous exigeons de compétences, moins nous aurons de candidats.
que dans la première itération, le commité de sécurité aura un rôle de "presse bouton" pour confirmer et exécuter la transaction d’arrêt d'urgence.
que, toujours dans cette première itération, les membres de commité vont aussi servir de testeurs pour valider les procédures et interagir avec l'équipe de développement s'il y a de modifications à apporter.

Pour moi, seules les 3 compétences donnée en début de ce message sont requises.

Néanmoins, pour avoir une vision claire de votre avis collectif, je vous propose un sondage. Notez que les résultats de ce sondage sont purement indicatifs.

Question à la communauté:

Parmi cette liste, quelles sont les compétences requises pour être membre de l'équipe de sécurité.

🇺🇸

Keep in mind:

if a skill is required, we need to be able to validate it.
the more skills we require, the fewer candidates we'll have.
in the first iteration, the safety committee will act as a “button-presser” to confirm and execute the emergency stop transaction.
in this first iteration, the committee members will also act as testers to validate procedures and interact with the development team if any modifications need to be made.

For me, only the three skills given at the beginning of this message are required.

However, I'd like to propose a poll to get a clear picture of your collective opinion. Please note that the results of this poll are purely indicative.

Question to the community:

Which of the following skills are required to be a security team member?

Sylvain Leroux

Yohann76 Continuous Learning: Commitment to regular training on the latest blockchain security practices
Mentorship: Willingness to share knowledge with other committee members and the Realtoken community

🇫🇷
La question de la formation n'a pas été clarifiée. Y aura-t-il une formation ? Par qui ? Les membres sont-ils censés s'auto-former sur leur propre temps (et sur leurs propres fonds) ?

La formation se concentrera-t-elle sur les actions spécifiques à notre DAO qui seront prises en cas d'incident, ou sera-t-elle plus généraliste ?

🇺🇸
The question of training has not been clarified. Will there be training? By whom? Are members expected to self-train on their own time (and funds)?

Will the training focus on actions specific to our DAO that will be taken in the event of an incident, or will it be more general?

Michael-RealT

Sylvain Leroux La question de la formation n'a pas été clarifiée. Y aura-t-il une formation ? Par qui ? Les membres sont-ils censés s'auto-former sur leur propre temps (et sur leurs propres fonds) ?

La formation se concentrera-t-elle sur les actions spécifiques à notre DAO qui seront prises en cas d'incident, ou sera-t-elle plus généraliste ?

Probablement que moi un un dev de la team fera quelques explications pour montrer les contrat et les transaction d'urgence, nous devrions aussi rédigé une doc sur le Wiki avec les infos histoire d'avoir un suivit des infos et permettre a de nouveaux arrivent d'apprendre et ce préparer pour potentiellement devenir candidat.
A ma connaissance il n'es pas vraiment de formation pour se genre d'activité, c'est généralement des gents qui ont une appétence pour l'activité et de la facilité qui s'occupe naturellement cela

Sylvain Leroux

Yohann76 Strategic Communicator: Ability to write clear and concise reports on emergency situations, and communicate effectively with the team and community

🇺🇸
Good communication skills seem indeed mandatory. Once again, how do we assess that?

It might be the responsibility of the voters to decide whether or not the candidate fulfills these requirements.

🇫🇷
De bonnes compétences en matière de communication semblent en effet indispensables. Une fois de plus, comment les évaluer ?

Il pourrait être de la responsabilité des électeurs de décider si le candidat remplit ou non ces conditions.

À revoir si pas de réponses

Sylvain Leroux

Michael-RealT Michael n'est pas la DAO, a la DAO de faire se qu'il faut, planifier, organisé, préparer ....

Certes, mais il se trouve que tu as une expertise que je n'ai pas, ainsi qu'une vision et des partisans qui font que ton avis compte, que tu le veuilles ou non.

Pour l'instant, il me semble évident qu'il serait difficile pour la DAO de se relever si tu venais à prendre tes distances.

Je comprends que justement l'objectif de cette première ère est que la DAO puisse voler de ses propres ailes. Toutefois, je ne pense pas que cet objectif soit encore atteint.

Michael-RealT

Sylvain Leroux Toutefois, je ne pense pas que cet objectif soit encore atteint.

il le deviendra avec les proposers, je serais la mais tapis dans l'ombre.

Personnifier une DAO un projet c'est un gros risque, et perso j'ai jamais accepter que quelqu'un ou une entité soie dépendante de moi, je préfère être remplaçable mais a ma place car apporte se qu'il faut a un instant T

Michael-RealT

Sylvain Leroux Mais est-ce que ce sera le travail du comité d'écrire à l'avance ces transactions, ou est-ce qu'une entité externe les aura prévues (éventuellement à la demande du commité)?

les 2 sont possibles, par exemple pour le RMM, j'ai déjà un fichier json qui peux etre utiliser avec le safe d'urgence, il suffi donc de charger le fichier, signer la tx, et de demander les contre signatures.
les autre signataire doive vérifier que la tx est bien celle attendu

Sylvain Leroux

Michael-RealT Sylvain Leroux Mais est-ce que ce sera le travail du comité d'écrire à l'avance ces transactions, ou est-ce qu'une entité externe les aura prévues (éventuellement à la demande du commité)?

les 2 sont possibles, par exemple pour le RMM, j'ai déjà un fichier json qui peux etre utiliser avec le safe d'urgence, il suffi donc de charger le fichier, signer la tx, et de demander les contre signatures.
les autre signataire doive vérifier que la tx est bien celle attendu

🇫🇷
Donc il y a déjà des briques de base pour que le commité puisse être opérationnel. Pour la suite, plusieurs options sont possibles. Ce choix a des conséquences sur les compétence requises pour les membres.

Savoir si sera le travail du comité de sécurité d'écrire les transactions d'urgence doit donc réglé ici avant de passer au stade de Proposal.

Un vote est associé à cette question. Voir en fin de message.

🏴󠁧󠁢󠁥󠁮󠁧󠁿
So, the building blocks are already in place for the committee to become operational. For the rest, several options are possible. This has implications regarding the required skills required for committee members.

Whether it will be the security committee's job to write the emergency transactions must therefore be settled here before moving on to the Proposal stage.

Michael-RealT

Sylvain Leroux Nous sommes tous d'accord : nous voulons des personnes responsables, disponibles et dignes de confiance. Mais comment évaluer ces qualités ?

Allons-nous demander des antécédents démontrant ces qualités ? Ou bien l'électeur aura-t-il la responsabilité** d'évaluer si le candidat présente ces qualités ?

a mon avis une personne qui est rarement sur les canaux est possiblement pas un bon candidat, après c'est comme toutes candidature, il y as des personnes peux loquasse qui sont très efficace, il faut espérer que sur le nombre la majorité serons motivé et disponible.
une piste serais de savoir combine ils ont de fond engagé, car si il ont 50 ou 50k l'intérete de sécurité es pas le même

Sylvain Leroux

Michael-RealT a mon avis une personne qui est rarement sur les canaux est possiblement pas un bon candidat, après c'est comme toutes candidature, il y as des personnes peux loquasse qui sont très efficace, il faut espérer que sur le nombre la majorité serons motivé et disponible.

Pour moi, c'est de la responsabilité des électeurs: il y a de plus grandes chances qu'ils votent pour un nom connu et de confiance, que pour un total inconnu.

Sylvain Leroux

Michael-RealT Bloquer c'est bien mais dans ce cas ol faut définir tout les critère qui vont autours, a quelle moment c'est libérer dans quelles cas ils peux etre slash, quelle es le processus pour activé cette démarche, quelles sont les déclencheur

Là, il va falloir être plus clair.

Pour moi, bloqué, ça voulait dire une somme déposé dans un "pool", "vault", ou autre truc que je ne connais pas, mais surtout indisponible à la vente. Par ex. je répondais à Yohann depuis au moins 15 jours avant la candidature, et pour au moins 1 mois après la fin du mandat.
Pour les slash (ce sont des pénalités en REG si je comprends bien). Tu introduis l'idée. Pour moi, la "pénalité" c'était surtout une interdiction d'être réélu à une fonction dans la DAO. Mais ton idée se tient et correspond peut-être plus à ce qui se fait ailleurs.
Idée de protocole (avec mes mots):
1. Dépôt de X tokens sur un SC dédié au moins 15j (pourquoi au fait?) avant candidature.
2. Débloqué immédiatement si candidat non élu.
3. Si candidat élu:
  a. Récupère 110% de son dépôt 1 mois après la fin du mandat si tout OK
  b. Récupère 80% de son dépôt en cas de problème ou abandon de poste.

Je ne sais pas si c'est techniquement possible ni la complexité que ça représente.

Sylvain Leroux

Michael-RealT Si ont part sur la mission première est de stopper un hack, les critère sont relativement simple a définir:
disponibilité ou capacité a se rendre disponible pour signer une tx
capacité a exécuté une tx depuis Gnosisscan sans tuto
compréhension pousse de se que c'est qu'une tx, un safe, un SC
s’intéresser a la sécurité et suivre les news sur le sujet

CyberSapyen Une Certification blockchain validée par un organisme sérieux & reconnu est aussi à mon sens une preuve du sérieux d'un potentiel candidat.

🇫🇷
Michael faisait remarquer à juste titre que recruter 10 candidats, ce sera déjà un exploit et qu'il ne faut pas mettre la barre trop haut. CyberSapyen veut une certification. Pour moi ça va un peu avec le sondage https://forum.realtoken.community/d/24-d%C3%A9finitions-des-conditions-de-fonctionnement-du-comit%C3%A9-de-s%C3%A9curit%C3%A9-/33

Pensez-vous qu'il faut demander des références ou des preuves de compétence quelconques? Il faut aussi que ce soit vérifiable. Par ex. une preuve de participation active sur le Telegram DAO peut sans doute se vérifier facilement. La validité du suivi d'un cours "sécurité blockchain" sur YouTube, moins. J'y réfléchis dans la journée et je posterai peut-être un sondage plus tard.

N'hésitez pas à commenter d'ici là si vous avec des suggestions!

À revoir

🇺🇸
Michael rightly pointed out that recruiting 10 candidates would already be an achievement and that we shouldn't set the bar too high. CyberSapyen wants certification. To me, this goes hand in hand with the https://forum.realtoken.community/d/24-d%C3%A9finitions-des-conditions-de-fonctionnement-du-comit%C3%A9-de-s%C3%A9curit%C3%A9-/33 survey.

Do you think we should ask for references or proof of competence of some kind? It also has to be verifiable. For example, evidence of active participation on the Telegram DAO can probably be easily verified. On the other hand, confirming the validity of following a “blockchain security” course on YouTube is less obvious. I'm mulling this over later today and may post a poll later.

Feel free to comment if you have any suggestions in the meantime!

Sylvain Leroux

Michael-RealT Probablement que moi un un dev de la team fera quelques explications pour montrer les contrat et les transaction d'urgence, nous devrions aussi rédigé une doc sur le Wiki avec les infos histoire d'avoir un suivit des infos et permettre a de nouveaux arrivent d'apprendre et ce préparer pour potentiellement devenir candidat.
A ma connaissance il n'es pas vraiment de formation pour se genre d'activité, c'est généralement des gents qui ont une appétence pour l'activité et de la facilité qui s'occupe naturellement cela

OK. Je comprends: pas d'obligation d'autoformation, un minimum d'infos seront disponibles sur le wiki, un ou deux facetime (ça se dit encore?) avec toi ou un membre de l'équipe dev pour les détails. Peut-être un référent technique joignable au besoin.

En pratique, est-ce que je rajoute peu ou prou le paragraphe ci-dessus dans la suggestion? Ou on laisse tomber parce que c'est "hors sujet"?

À revoir si pas de réponse.

Sylvain Leroux

Michael-RealT Personnifier une DAO un projet c'est un gros risque, et perso j'ai jamais accepter que quelqu'un ou une entité soie dépendante de moi,

C'est une attitude sage. Dans le domaine professionnel on entend parfois dire que personne n'est irremplaçable. Pour moi, c'est plutôt le contraire : chacun est unique et irremplaçable. Par contre il est important que d'autres puisse reprendre le flambeau. "Personnifier" une organisation semble un risque important, et je comprends que ce n'est pas ce que tu souhaites. Je serais bien tenter de dire que "nous" non-plus 🤗

Mais je répète encore qu'en ce qui me concerne je n'ai pour l'instant que peu de connaissances sur le fonctionnement d'une DAO, sur son organisation, et les devoirs/pouvoirs des membres. Par ailleurs pour le projet RealToken DAO, tu as aussi une connaissance intime du fond du projet, et depuis que tu gravites autour, il est évident que tu as une vision pour cette DAO.

Tout cela fait que pour l'instant "nous" (je) te considérons comme un mentor et sommes enclins à te solliciter. Peut-être trop?

Je ne sais pas quel autre membre impliqué à une expérience en DAO. Peut-être que ça te dechargerais et que ce serait un premier signe d'émancipation si on pouvait se touver (ou se créer) d'autres référents en interne.

C'est bientôt Noël, moi je veux bien qu'on m'offre "La DAO pour les nuls" ou autre bouquin similaire. Je penses que tu peux trouver mes coordonnées chez RealT 😇

Plus sérieusement, j'essaye de me former et de m'informer — mais sur tellement de choses à la fois dans le web3. Je ne peux pas tout absorber en quelques semaines. J'espère que tu me comprends.

Je répondrai demain aux autres messages plus centrés sur la suggestion dont il est question ici. Mais je voulais apporter ces réflexions des ce soir.

Très cordialement,

Sylvain

Sylvain Leroux

CyberSapyen Plus que le nombre de REG, leur durée de détention, le % d'utilisation dans la pool, et l'absence de vente / achat à tout va seraient des indicateurs témoignant de l'engagement du candidat.

Merci, ce sont des pistes intéressantes!

Est-ce que tu pourrais détailler un peu pour qu'avec mes maigres connaissances je soit certain de bien comprendre. Je vais faire un sondage sur le sujet et je ne voudrais pas oublier une options importante.

En particulier:

% d'utilisation dans la pool: quelle "pool"
absence de vente / achat à tout va: est-ce qu'une quantité de REGs bloqués depuis, disons, au moins 15 jours, serait une preuve suffisante pour toi (m'est avis que c'est le plus simple à vérifier ou me trompé-je @Michael-RealT ?)

À revoir si pas de réponse

CyberSapyen

Une Certification blockchain validée par un organisme sérieux & reconnu est aussi à mon sens une preuve du sérieux d'un potentiel candidat.

Sylvain Leroux

Yohann76 Continuous Learning: Commitment to regular training on the latest blockchain security practices

CyberSapyen Une Certification blockchain validée par un organisme sérieux & reconnu est aussi à mon sens une preuve du sérieux d'un potentiel candidat.

Michael-RealT Audela du risque de hack d'un smartphone qui n'est tout de même pas a la porté de n'importe qui, c'est la partie processus et formation qui es important, car avec IA, les attaques social sont plus probable et plus accessible.

Michael-RealT Donc une forte conscience des risques, et une bonne procédure est important pour limité le risque,

Phedba Exiger une preuve de la connaissance des enjeux liés à la sécurité dans le contexte du web3

Phedba Ledger propose de bonnes sensibilisations, dont l’attestation prend la forme d’un NFT non transférable

Phedba En toute logique, une personne bien sensibilisée sera plus consciente des risques, mieux à même de prendre les précautions nécessaires et de mettre en place les outils appropriés pour se protéger,

Phedba ersonnellement, je pense que valider les preuves de connaissance (PoK) des quests de Ledger est une solution idéale dans un premier temps. Requérir des certificats de formation qui coûtent et demande un investissement en temps de plusieurs semaines me semble disproportionné si, au final, on tolère le non-usage d'un HW.

Michael-RealT J'ai pas utiliser les Quests Ledger, mais ça peux etre une approche si le temps passer es raisonnable par rapport a la fonction.

Sylvain Leroux En revanche, l’impact sur l’image [...] serait considérable

Voir également le sondage

🇨🇦
Il semble y avoir une demande forte (et je m'y joint) pour que le commité de sécurité soit sensibilisé aux enjeux de sécurité du web3, et conscient des menaces et attaques possibles, notamment via l'IA et ingénierie sociale.

Il est irréaliste de vouloir demander aux candidats des formations de plusieurs semaines avec des organisme reconnu. Par contre l'idée l'idée d'utiliser les Quests Ledger et d'exiger le(s) NFT(s) correspondant(s) semble un bon compromis.

Je ne connais pas non plu les Quests Ledger, mais je vais regarder ce WE.

Je pense pouvoir d'ors et déjà l'inscrire dans la suggestion.

🇨🇦
There seems to be a strong demand (and I join it) for the security committee to be aware of web3 security issues, and aware of possible threats and attacks, particularly via AI and social engineering.

It's unrealistic to ask candidates to attend training courses lasting several weeks with recognized organizations. On the other hand, the idea of using Ledger Quests and requiring the corresponding NFT(s) seems a good compromise.

I'm unfamiliar with Ledger Quests, but I'll look into it this weekend.

I think I can already include it in the suggestion.

✅

Michael-RealT

Sylvain Leroux

🇺🇸
I would say that the more independent the community is, therefore able to create and execute transactions, the better it will be, this avoids having to trust an actor to do it.

In view of the skills of the community, Bot, interface dev, etc., I do not see a problem with this mission being completely fulfilled autonomously, all the same from the committee do not need to know how to write a transaction, they must be able to verify it.
Moreover, even if for a complicated tx no one in the committee is able to do it, there is always the possibility of asking the community or a partner like RealT for help

🇫🇷
je dirais que plus la communauté est indépendante donc capable de créer et exécuter des transaction mieux ça sera, cela évite de devoir faire confiance a un acteur pour le faire.

Au vue des compétence de la communauté, Bot, dev d'interface, ect, je ne voie pas de problème a se que cette missions soie totalement remplie en autonomie, tout les même du comité non pas besoin de savoir écrire une transaction ils doivent être capable de la vérifier.
De plus même si pour une tx compliquer personne dans le comité n'est capable de le faire, il y as toujours la possibilité de demander de l'ai a la communauté ou un partenaire comme RealT

Sylvain Leroux

Michael-RealT De plus même si pour une tx compliquer personne dans le comité n'est capable de le faire, il y as toujours la possibilité de demander de l'ai a la communauté ou un partenaire comme RealT

Du coup est-ce que ça colle avec un des choix de mon sondage, ou veux-tu que j'en rajoute un pour plus spécifique pour distinguer les cas complexes des cas simples? À mon avis, ce n'est pas nécessaire mais je te laisse le choix final de décider si ton opinion est portée ou pas.

(PS: sondage en anglais: utilise la trad. auto., je ne sais pas—et ai un peu la flemme—de le faire en multilingue)

Michael-RealT

Sylvain Leroux Du coup est-ce que ça colle avec un des choix de mon sondage, ou veux-tu que j'en rajoute un pour plus spécifique pour distinguer les cas complexes des cas simples? À mon avis, ce n'est pas nécessaire mais je te laisse le choix final de décider si ton opinion est portée ou pas.

Désolé mais la décision ne m’appartiens pas, partir dans cette direction c'est comme élire un Roi, présidant ou autre du style.
l’objectif c'est que la personne qui poste une idées, soie responsable de cette dernière et la manage jusqu'au bout, ça implique faire des choix, écouté, répondre, débattre, trouvé des alternative pour permettre a l'idée d'arrivé a un vote qui satisfais la majorité.

L'erreur n'es pas punitif, si tu part dans la mauvais direction tu pourra toujours changer de direction pour trouvé le bon chemin

« Previous Page Next Page »