Par Chaals Nevile, directeur des programmes techniques de l'EEE et éditeur de la spécification des niveaux de sécurité EthTrust v1 de l'EEE
Le groupe de travail sur les niveaux de sécurité EthTrust de l'AEE a récemment publié la version 1 du Spécification des niveaux de sécurité EthTrust pour l'EEE. Il s'agit d'une nouvelle spécification technique importante de l'EEE, décrivant les exigences pour les audits de sécurité des contrats intelligents. Avec la valeur croissante d'Ethereum Mainnet et le rôle croissant des contrats intelligents Solidity/EVM dans de nombreuses blockchains, ce sujet ne fait que gagner en importance.
La spécification définit trois niveaux d'exigences, allant de celles qui peuvent être testées automatiquement avec un logiciel (niveau de sécurité [S]) à une analyse approfondie couvrant la qualité du codage et l'exactitude de la documentation.
La vérification du niveau de sécurité [S] pour les problèmes évidents peut être suffisante pour un morceau de code simple de faible valeur, tandis qu'une analyse statique complète par un expert pour s'assurer que votre code répond aux exigences du niveau de sécurité [M] fournit des garanties plus étranges pour les contrats importants. . Le niveau de sécurité [Q], avec une évaluation approfondie et minutieuse de la logique métier et de la qualité du codage, est plus approprié pour un contrat critique qui gérera une valeur substantielle, ou pour du code qui va être réutilisé dans plusieurs projets.
Les auditeurs de sécurité qui se réfèrent à cette spécification peuvent montrer qu'ils couvrent la gamme des vulnérabilités connues dans leurs procédures de test. Cela fournit une référence neutre, pour aider les clients à choisir un niveau approprié d'examen de sécurité et à comprendre ses implications.
Les développeurs familiarisés avec la spécification seront en mesure d'anticiper de nombreux problèmes qu'un audit de sécurité de qualité révélerait, réduisant ainsi le coût de la correction et améliorant leurs propres compétences et leur efficacité.
Jusqu'à présent, la meilleure approche pour garantir la sécurité des contrats intelligents consistait à choisir une entreprise réputée pour effectuer des audits, ou peut-être deux pour être du bon côté. Bien que ces entreprises existent, certaines ont un long arriéré de travail. Pendant ce temps, même les nouveaux venus de grande qualité ont eu du mal à s'établir sur le marché, car il n'existait aucune norme externe pour valider leur travail.
Cette spécification de l'AEE est destinée à combler cette lacune dans l'écosystème. S'assurer que l'audit de sécurité que vous obtenez est conforme au niveau de sécurité EthTrust correspondant offre désormais un contrôle de qualité neutre et validé par l'industrie pour ce service essentiel.
Parce que cette spécification a été développée avec la participation de nombreux acteurs majeurs de la sécurité des contrats intelligents, elle sert de marque de qualité indépendante, plutôt que d'avis d'une entreprise. Comme indiqué dans les remerciements des contributeurs, il a été recoupé par de nombreux experts en sécurité de plusieurs organisations concurrentes pour s'assurer qu'il sous-tend de bonnes normes de qualité pour l'industrie.
Cette spécification a été développée au cours des deux dernières années, traitant des vulnérabilités de sécurité provenant de plusieurs sources. De même, des examens approfondis d'experts travaillant dans plusieurs organisations membres de l'EEE ont contribué à le rendre aussi clair que possible.
Comme un certain niveau de transparence est important en matière de sécurité, le projets de spécifications étaient à la disposition du public alors même qu'ils étaient un travail inachevé en cours. La première version se concentre sur les contrats écrits en Solidity mais est pertinente pour toute blockchain qui exécute un EVM.
Avec la première version publiée en tant que spécification EEA, le groupe de travail prévoit de recueillir des commentaires et d'étudier son utilisation, ainsi que de garder un œil sur le domaine en constante évolution de la sécurité, afin de produire une version mise à jour lorsque cela deviendra approprié.
Dans d'autres activités futures, le groupe et l'AEE pourraient également envisager des travaux tels que des systèmes de certification et d'autres outils pour soutenir l'adoption et accroître la sécurité globale de l'écosystème Ethereum.
Pour l'instant, nous sommes heureux d'avoir fourni une base solide sur laquelle l'ensemble de l'écosystème peut s'appuyer de manière plus sécurisée que jamais, justifiant une confiance accrue dans la capacité des développeurs Ethereum de qualité à préserver la valeur réelle et les processus importants étayés par des contrats intelligents. Le groupe de travail est en train de rédiger sa prochaine charte et de recruter de nouveaux membres, afin de maintenir le cahier des charges et de faire passer ce travail au niveau supérieur.
Pour en savoir plus sur les nombreux avantages de l'adhésion à l'EEE, contactez le membre de l'équipe James Harsh à ou visitez le site https://entethalliance.org/become-a-member/.
Suivez-nous sur Twitter, LinkedIn et les Facebook pour rester à jour sur tout ce qui concerne l'EEE.
- Bitcoin
- blockchain
- conformité de la blockchain
- conférence blockchain
- Blog
- coinbase
- cognitif
- Consensus
- conférence cryptographique
- extraction de crypto
- crypto-monnaie
- Décentralisé
- DeFi
- Actifs numériques
- Enterprise Ethereum Alliance
- Ethereum
- machine learning
- jeton non fongible
- Platon
- platon ai
- Intelligence des données Platon
- Platoblockchain
- PlatonDonnées
- jeu de platogamie
- Polygone
- la preuve de la participation
- W3
- zéphyrnet
