Mennyire erős az intelligens szerződése biztonsága? Ki mondja?

Írta: Chaals Nevile, az EEA műszaki programokért felelős igazgatója és az EGT EthTrust biztonsági szint specifikáció v1 szerkesztője

Az EEA EthTrust biztonsági szintekkel foglalkozó munkacsoportja a közelmúltban közzétette az 1. verziót EGT EthTrust biztonsági szintek specifikációja. Ez egy fontos új EGT műszaki specifikáció, amely az intelligens szerződések biztonsági ellenőrzésére vonatkozó követelményeket vázolja. Az Ethereum Mainnet növekvő értékével és a Solidity/EVM intelligens szerződések növekvő szerepével számos blokkláncban ez a téma egyre fontosabbá válik.

A specifikáció három követelményszintet határoz meg, a szoftverrel automatikusan tesztelhetőektől (Security Level [S]), a kódolás minőségére és a dokumentáció pontosságára kiterjedő alapos elemzésig.

Az [S] biztonsági szint ellenőrzése nyilvánvaló problémák esetén elegendő lehet egy kis értékű egyszerű kódrészlethez, míg egy szakértő által végzett teljes statikus elemzés annak biztosítására, hogy a kód megfelel-e az [M] biztonsági szint követelményeinek, idegen garanciákat nyújt a fontos szerződésekhez. . A [Q] biztonsági szint az üzleti logika és a kódolás minőségének mélyreható és gondos értékelésével megfelelőbb olyan kritikus szerződésekhez, amelyek jelentős értéket kezelnek, vagy olyan kódokhoz, amelyeket több projektben újra felhasználnak.

Az erre a specifikációra hivatkozó biztonsági auditorok kimutathatják, hogy tesztelési eljárásaik során lefedik az ismert sebezhetőségek skáláját. Ez egy semleges viszonyítási alap, amely segít az ügyfeleknek kiválasztani a megfelelő szintű biztonsági felülvizsgálatot, és megérteni annak következményeit.

A specifikációt ismerő fejlesztők képesek lesznek előre látni számos olyan problémát, amelyet a minőségi biztonsági audit feltárhat, csökkentve a helyreállítás költségeit, valamint javítva saját készségeiket és hatékonyságukat.

Eddig az volt a legjobb módszer az intelligens szerződések biztonságának biztosítására, hogy egy jó hírű céget választottak az auditok elvégzésére, vagy esetleg kettőt a biztonság kedvéért. Noha ezek a cégek léteznek, néhányuknak hosszú a munkahátraléka. Mindeközben még a jó minőségű újoncok is nehezen tudtak megállni a piacon, mert nem volt külső szabvány a munkájuk hitelesítésére.

Ez az EGT-specifikáció célja az ökoszisztéma ezen hiányosságainak megszüntetése. Annak biztosítása, hogy a kapott biztonsági audit megfeleljen a megfelelő EthTrust biztonsági szintnek, most semleges, iparágilag hitelesített minőségellenőrzést kínál ehhez a kritikus szolgáltatáshoz.

Mivel ezt a specifikációt az intelligens szerződésbiztonság számos jelentős szereplőjének részvételével dolgozták ki, független minőségi védjegyként szolgál, nem pedig egy vállalat véleményét. Amint azt a közreműködők köszönetnyilvánításai is megjegyezték, számos, egymással versengő szervezet biztonsági szakértője megvizsgálta, hogy megbizonyosodjon arról, hogy alátámasztja az iparág jó minőségi szabványait.

Ezt a specifikációt az elmúlt néhány évben fejlesztették ki, és több forrásból származó biztonsági réseket kezel. Hasonlóképpen, a több EGT-tagszervezetben dolgozó szakértők mélyreható áttekintése is segített a lehető legvilágosabbá tenni.

Mivel a biztonságban fontos az átláthatóság bizonyos szintje, a specifikációs tervezeteket még akkor is elérhetők voltak a nyilvánosság számára, amikor még egy befejezetlen munka volt. Az első verzió a Solidityben írt szerződésekre összpontosít, de minden olyan blokkláncra vonatkozik, amely EVM-et futtat.

Az EGT-specifikációként közzétett első verzióval a munkacsoport azt tervezi, hogy visszajelzéseket gyűjt és tanulmányozza felhasználási módjait, valamint figyelemmel kíséri a biztonság folyamatosan fejlődő területét, hogy szükség esetén frissített változatot készítsen.

Más jövőbeni tevékenységei során a csoport és az EEA fontolóra veheti az Ethereum ökoszisztéma elfogadásának támogatására és általános biztonságának növelésére szolgáló tanúsítási rendszereket és további eszközöket is.

Egyelőre örülünk, hogy szilárd alapot biztosítottunk az egész ökoszisztéma számára, hogy minden eddiginél biztonságosabban építhessen tovább, ami indokolja a minőségi Ethereum-fejlesztők azon képességébe vetett fokozott bizalmat, hogy megőrizzék a valódi értéket és az intelligens szerződésekkel alátámasztott fontos folyamatokat. A munkacsoport most készíti el a következő alapszabályát, és további tagokat vesz fel, hogy fenntartsa a specifikációt és ezt a munkát a következő szintre emelje.

Ha többet szeretne megtudni az EGT-tagság előnyeiről, forduljon James Harsh csapattaghoz a következő címen:  vagy bejelentkezés https://entethalliance.org/become-a-member/.

Kövess minket Twitter, LinkedIn és a Facebook hogy naprakészek legyenek az EGT-vel kapcsolatos mindenről.