Hvor stærk er din smarte kontrakts sikkerhed? Siger hvem?

Af Chaals Nevile, EEA Director of Technical Programs, og redaktør af EEA EthTrust Security Levels Specification v1

EEA's EthTrust Security Levels Working Group har for nylig offentliggjort version 1 af EEA EthTrust sikkerhedsniveauspecifikation. Dette er en vigtig ny EØS-teknisk specifikation, der skitserer krav til sikkerhedsrevision af intelligente kontrakter. Med den stigende værdi af Ethereum Mainnet og den stigende rolle af Solidity/EVM smarte kontrakter i mange blockchains, bliver dette emne kun vigtigere.

Specifikationen opstiller tre niveauer af krav, fra dem, der kan testes automatisk med et stykke software (Sikkerhedsniveau [S]), til en grundig analyse, der dækker kodningskvalitet og nøjagtighed af dokumentation.

Sikkerhedsniveau [S]-kontrollen for åbenlyse problemer kan være tilstrækkeligt til et stykke simpel kode af lav værdi, mens en fuldstændig statisk analyse foretaget af en ekspert for at sikre, at din kode opfylder kravene i sikkerhedsniveau [M] giver fremmede garantier for vigtige kontrakter . Sikkerhedsniveau [Q], med en dyb og omhyggelig vurdering af forretningslogik og kodningskvalitet er mere passende til en kritisk kontrakt, der vil håndtere væsentlig værdi, eller for kode, der skal genbruges i flere projekter.

Sikkerhedsrevisorer, der henviser til denne specifikation, kan vise, at de dækker spektret af kendte sårbarheder i deres testprocedurer. Dette giver et neutralt benchmark for at hjælpe kunderne med at vælge et passende niveau af sikkerhedsgennemgang og forstå dets implikationer.

Udviklere, der er bekendt med specifikationen, vil være i stand til at forudse mange problemer, som en kvalitetssikkerhedsrevision vil afdække, hvilket reducerer omkostningerne ved udbedring og forbedrer deres egne færdigheder og effektivitet.

Indtil nu har den bedste tilgang til at sikre, at smarte kontrakter var sikre, været at vælge en velrenommeret virksomhed til at foretage revisioner, eller måske to for at være på den sikre side. Mens disse virksomheder eksisterer, har nogle et langt efterslæb. I mellemtiden har det været svært for selv nytilkomne af høj kvalitet at etablere sig på markedet, fordi der ikke var nogen ekstern standard til at validere deres arbejde.

Denne EØS-specifikation har til formål at afhjælpe dette hul i økosystemet. At sikre, at den sikkerhedsrevision, du får, overholder det tilsvarende EthTrust-sikkerhedsniveau, tilbyder nu et neutralt, branchevalideret kvalitetstjek for denne kritiske service.

Fordi denne specifikation er blevet udviklet med deltagelse af mange af de store aktører inden for smart kontraktsikkerhed, fungerer den som et uafhængigt kvalitetsmærke snarere end én virksomheds meninger. Som nævnt i anerkendelserne fra bidragydere, er det blevet krydstjekket af adskillige sikkerhedseksperter fra flere konkurrerende organisationer for at sikre, at det understøtter gode kvalitetsstandarder for industrien.

Denne specifikation er blevet udviklet i løbet af de sidste par år og adresserer sikkerhedssårbarheder fra flere kilder. Tilsvarende har dybdegående anmeldelser fra eksperter, der arbejder i flere EØS-medlemsorganisationer, bidraget til at gøre det så klart som muligt.

Da et vist niveau af gennemsigtighed er vigtigt i sikkerhed, specifikationsudkast var tilgængelige for offentligheden, selv mens de var et ufærdigt arbejde i gang. Den første version fokuserer på kontrakter skrevet i Solidity, men er relevant for enhver blockchain, der kører en EVM.

Med den første version udgivet som en EEA-specifikation planlægger arbejdsgruppen at indsamle feedback og undersøge, hvordan den bruges, samt holde øje med det stadigt udviklende sikkerhedsområde for at producere en opdateret version, når det bliver passende.

I andre fremtidige aktiviteter kan gruppen og EEA også overveje arbejde såsom certificeringsordninger og yderligere værktøjer til at understøtte adoption og øge den overordnede sikkerhed i Ethereum-økosystemet.

Indtil videre er vi glade for at have givet et stærkt fundament for hele økosystemet at bygge videre på mere sikkert end nogensinde, hvilket retfærdiggør øget tillid til Ethereum-udvikleres evne til at sikre reel værdi og vigtige processer understøttet af smarte kontrakter. Arbejdsgruppen er nu ved at udarbejde sit næste charter og rekruttere yderligere medlemmer, for at fastholde specifikationen og tage dette arbejde til næste niveau.

For at lære om de mange fordele ved EØS-medlemskab, kontakt teammedlem James Harsh på  eller besøg https://entethalliance.org/become-a-member/.

Følg os på Twitter, LinkedIn , Facebook at holde sig opdateret om alt, hvad EØS angår.