Kuinka vahva on älykkään sopimuksesi turvallisuus? Sanoo kuka?

Chaals Nevile, ETA:n teknisten ohjelmien johtaja ja ETA:n EthTrust Security Levels Specification v1:n toimittaja

ETA:n EthTrust Security Levels -työryhmä julkaisi äskettäin version 1 ETA:n EthTrust-suojaustasojen määrittely. Tämä on tärkeä uusi ETA:n tekninen eritelmä, jossa esitetään älykkäiden sopimusten turvatarkastuksia koskevat vaatimukset. Ethereumin Mainnetin arvon kasvaessa ja Solidity/EVM-älysopimusten roolin kasvaessa monissa lohkoketjuissa tästä aiheesta on tulossa vain tärkeämpi.

Spesifikaatiossa asetetaan kolme vaatimustasoa, joista voidaan testata automaattisesti ohjelmiston avulla (turvataso [S]) ja perusteelliseen analyysiin, joka kattaa koodauksen laadun ja dokumentaation tarkkuuden.

Suojaustason [S] tarkistus ilmeisten ongelmien varalta saattaa riittää vähäarvoiselle yksinkertaiselle koodille, kun taas asiantuntijan täydellinen staattinen analyysi varmistaa, että koodisi täyttää suojaustason [M] vaatimukset, tarjoaa outoja takuita tärkeille sopimuksille. . Suojaustaso [Q], jossa on syvä ja huolellinen liiketoimintalogiikan ja koodauksen laadun arviointi, sopii paremmin kriittiseen sopimukseen, joka käsittelee huomattavaa arvoa, tai koodille, jota aiotaan käyttää uudelleen useissa projekteissa.

Turvatarkastajat, jotka viittaavat tähän spesifikaatioon, voivat osoittaa, että he kattavat testausmenettelyillään tunnetut haavoittuvuudet. Tämä on neutraali vertailukohta, joka auttaa asiakkaita valitsemaan asianmukaisen suojaustason ja ymmärtämään sen vaikutukset.

Spesifikaatioon perehtyneet kehittäjät voivat ennakoida monia ongelmia, joita laatutietoturva-auditointi paljastaa, mikä vähentää korjauskustannuksia ja parantaa omaa osaamistaan ​​ja tehokkuuttaan.

Tähän asti paras tapa varmistaa, että älykkäät sopimukset ovat turvallisia, on ollut valita hyvämaineinen yritys auditoimaan tai ehkä kaksi varmuuden vuoksi. Vaikka nämä yritykset ovat olemassa, joillakin on pitkä työruuhka. Samaan aikaan laadukkaidenkin tulokkaiden on ollut vaikea vakiinnuttaa asemansa markkinoille, koska heidän työnsä validoimiseksi ei ollut ulkopuolista standardia.

Tämä ETA-spesifikaatio on tarkoitettu korjaamaan tämä aukko ekosysteemissä. Sen varmistaminen, että saamasi tietoturvatarkastus vastaa vastaavaa EthTrust-suojaustasoa, tarjoaa nyt neutraalin, toimialan hyväksymän laaduntarkistuksen tälle tärkeälle palvelulle.

Koska tämä eritelmä on kehitetty useiden älykkäiden sopimusten turvallisuuden tärkeimpien toimijoiden kanssa, se toimii itsenäisenä laatumerkkinä yhden yrityksen mielipiteen sijaan. Kuten avustajien tunnustuksissa mainitaan, useat tietoturva-asiantuntijat useista kilpailevista organisaatioista ovat tarkastaneet sen varmistaakseen, että se tukee alan hyviä laatustandardeja.

Tämä eritelmä on kehitetty viimeisten parin vuoden aikana, ja se käsittelee useista lähteistä peräisin olevia tietoturva-aukkoja. Samoin useissa ETA:n jäsenorganisaatioissa työskentelevien asiantuntijoiden perusteelliset arviot ovat auttaneet selventämään asiaa mahdollisimman selkeästi.

Koska tietty läpinäkyvyys on turvallisuuden kannalta tärkeää, spesifikaatioluonnokset olivat yleisön saatavilla, vaikka ne olivat keskeneräisiä töitä. Ensimmäinen versio keskittyy Solidityssä kirjoitettuihin sopimuksiin, mutta se on merkityksellinen kaikille EVM:ää käyttäville lohkoketjuille.

Ensimmäisen ETA-spesifikaationa julkaistun version myötä työryhmä aikoo kerätä palautetta ja tutkia sen käyttöä sekä pitää silmällä jatkuvasti kehittyvää tietoturva-alaa tuottaakseen päivitetyn version tarvittaessa.

Muissa tulevissa toimissa ryhmä ja ETA voivat myös harkita työtä, kuten sertifiointijärjestelmiä ja lisätyökaluja, jotka tukevat käyttöönottoa ja lisäävät Ethereum-ekosysteemin yleistä turvallisuutta.

Toistaiseksi olemme iloisia voidessamme tarjota vahvan perustan koko ekosysteemin rakentamiselle turvallisemmin kuin koskaan, mikä oikeuttaa lisääntyneen luottamuksen laadukkaiden Ethereum-kehittäjien kykyyn turvata todellista arvoa ja tärkeitä älykkäiden sopimusten tukemia prosesseja. Työryhmä laatii parhaillaan seuraavaa peruskirjaansa ja rekrytoi uusia jäseniä, jotta spesifikaatio säilyy ja työ viedään uudelle tasolle.

Jos haluat lisätietoja ETA-jäsenyyden monista eduista, ota yhteyttä tiimin jäseneen James Harshiin osoitteessa  tai osoitteesta https://entethalliance.org/become-a-member/.

Seuraa meitä Twitter, LinkedIn ja Facebook pysyäksesi ajan tasalla kaikesta ETA-alueella.