امنیت قرارداد هوشمند شما چقدر قوی است؟ بگو کی؟

توسط Chaals Nevile، مدیر برنامه های فنی منطقه اقتصادی اروپا، و سردبیر EEA EthTrust Security Levels Specification v1

گروه کاری سطوح امنیتی EthTrust EEA اخیراً نسخه 1 را منتشر کرده است مشخصات سطوح امنیتی EEA EthTrust. این یک مشخصات فنی جدید EEA است که الزامات ممیزی امنیتی قراردادهای هوشمند را تشریح می کند. با افزایش ارزش Ethereum Mainnet و نقش فزاینده قراردادهای هوشمند Solidity/EVM در بسیاری از بلاک چین ها، این موضوع اهمیت بیشتری پیدا می کند.

این مشخصات سه سطح الزامات را تعیین می کند، از مواردی که می توانند به طور خودکار با یک نرم افزار (سطح امنیتی [S]) آزمایش شوند، تا تجزیه و تحلیل کاملی که کیفیت کدگذاری و دقت مستندات را پوشش می دهد.

بررسی سطح امنیت [S] برای مسائل واضح ممکن است برای یک قطعه کد ساده کم ارزش کافی باشد، در حالی که یک تجزیه و تحلیل استاتیک کامل توسط یک متخصص برای اطمینان از اینکه کد شما الزامات سطح امنیتی [M] را برآورده می کند، تضمین های غریبه ای را برای قراردادهای مهم ارائه می کند. . سطح امنیتی [Q]، با ارزیابی عمیق و دقیق از منطق کسب و کار و کیفیت کدنویسی برای یک قرارداد مهم که ارزش قابل توجهی دارد، یا برای کدهایی که قرار است در چندین پروژه مجدداً استفاده شوند، مناسب‌تر است.

حسابرسان امنیتی که به این مشخصات اشاره می‌کنند می‌توانند نشان دهند که طیفی از آسیب‌پذیری‌های شناخته شده را در روش‌های آزمایشی خود پوشش می‌دهند. این یک معیار خنثی را فراهم می کند تا به مشتریان کمک کند تا سطح مناسبی از بررسی امنیتی را انتخاب کنند و پیامدهای آن را درک کنند.

توسعه دهندگانی که با مشخصات آشنا هستند، قادر خواهند بود بسیاری از مسائلی را که یک ممیزی امنیتی با کیفیت آشکار می کند، پیش بینی کنند و هزینه های اصلاح را کاهش دهند و مهارت ها و کارایی خود را افزایش دهند.

تا به حال، بهترین رویکرد برای اطمینان از ایمن بودن قراردادهای هوشمند، انتخاب یک شرکت معتبر برای انجام ممیزی، یا شاید دو شرکت برای انجام ممیزی بوده است. در حالی که این شرکت ها وجود دارند، برخی از آنها مدت زیادی کار عقب افتاده دارند. در همین حال، حتی برای تازه واردان باکیفیت نیز تثبیت خود در بازار سخت بوده است، زیرا هیچ استاندارد خارجی برای تایید کار آنها وجود نداشت.

این مشخصات EEA برای رسیدگی به این شکاف در اکوسیستم در نظر گرفته شده است. اطمینان از اینکه ممیزی امنیتی که دریافت می کنید مطابق با سطح امنیتی EthTrust مربوطه است، اکنون یک بررسی کیفیت خنثی و تأیید شده صنعت برای این سرویس حیاتی ارائه می دهد.

از آنجایی که این مشخصات با مشارکت بسیاری از بازیگران اصلی در امنیت قراردادهای هوشمند توسعه یافته است، به جای نظرات یک شرکت، به عنوان یک علامت کیفیت مستقل عمل می کند. همانطور که در قدردانی مشارکت کنندگان ذکر شد، توسط کارشناسان امنیتی متعدد از چندین سازمان رقیب بررسی شده است تا اطمینان حاصل شود که زیربنای استانداردهای کیفیت خوب برای صنعت است.

این مشخصات طی چند سال گذشته توسعه یافته است و آسیب‌پذیری‌های امنیتی را از منابع متعدد برطرف می‌کند. به همین ترتیب، بررسی‌های عمیق کارشناسانی که در چندین سازمان عضو EEA کار می‌کنند، به شفاف‌تر شدن هر چه بیشتر آن کمک کرده است.

از آنجایی که سطح مشخصی از شفافیت در امنیت مهم است پیش نویس مشخصات حتی زمانی که یک کار ناتمام در حال انجام بودند در دسترس عموم قرار گرفتند. نسخه اول بر قراردادهای نوشته شده در Solidity تمرکز دارد، اما مربوط به هر بلاک چینی است که یک EVM را اجرا می کند.

با اولین نسخه منتشر شده به عنوان مشخصات EEA، گروه کاری قصد دارد بازخوردها را جمع آوری کند و نحوه استفاده از آن را مطالعه کند، و همچنین مراقب حوزه همیشه در حال تحول امنیت باشد تا در صورت لزوم، نسخه به روز شده را تولید کند.

در سایر فعالیت‌های آتی، گروه و EEA ممکن است کارهایی مانند طرح‌های صدور گواهینامه و ابزارهای بیشتر را برای حمایت از پذیرش و افزایش امنیت کلی اکوسیستم اتریوم در نظر بگیرند.

در حال حاضر، ما خوشحالیم که پایه‌ای قوی برای کل اکوسیستم فراهم کرده‌ایم تا با ایمن‌تر از همیشه بر روی آن بنا شود و اعتماد افزایش یافته به توانایی توسعه‌دهندگان اتریوم با کیفیت را برای محافظت از ارزش واقعی و فرآیندهای مهمی که بر اساس قراردادهای هوشمند ساخته شده‌اند را توجیه می‌کند. این کارگروه اکنون در حال تهیه پیش نویس منشور بعدی خود و جذب اعضای بیشتری برای حفظ مشخصات و ارتقای این کار به سطح بعدی است.

برای آشنایی با مزایای بسیاری از عضویت در EEA، با عضو تیم جیمز هارش تماس بگیرید  و یا بازدید https://entethalliance.org/become-a-member/.

ما را دنبال در توییتر, لینک و فیس بوک برای به روز ماندن در مورد همه چیز EEA.