작성자: Chaals Nevile, EEA 기술 프로그램 이사 및 EEA EthTrust 보안 수준 사양 v1 편집자
EEA의 EthTrust 보안 수준 워킹 그룹은 최근 버전 1을 발표했습니다. EEA EthTrust 보안 수준 사양. 이것은 스마트 계약의 보안 감사에 대한 요구 사항을 설명하는 중요한 새로운 EEA 기술 사양입니다. Ethereum Mainnet의 가치가 증가하고 많은 블록체인에서 Solidity/EVM 스마트 계약의 역할이 증가함에 따라 이 주제는 점점 더 중요해지고 있습니다.
이 사양은 소프트웨어(보안 수준[S])로 자동 테스트할 수 있는 요구 사항부터 코딩 품질 및 문서의 정확성을 다루는 철저한 분석에 이르기까지 세 가지 수준의 요구 사항을 설정합니다.
명백한 문제에 대한 보안 수준 [S] 검사는 가치가 낮은 간단한 코드에 충분할 수 있는 반면, 코드가 보안 수준 [M]의 요구 사항을 충족하는지 확인하기 위한 전문가의 전체 정적 분석은 중요한 계약에 대해 낯선 보증을 제공합니다. . 보안 수준[Q]은 비즈니스 로직과 코딩 품질에 대한 심층적이고 신중한 평가를 통해 상당한 가치를 처리할 중요한 계약이나 여러 프로젝트에서 재사용될 코드에 더 적합합니다.
이 사양을 참조하는 보안 감사자는 테스트 절차에서 알려진 취약점의 범위를 다루고 있음을 보여줄 수 있습니다. 이는 고객이 적절한 수준의 보안 검토를 선택하고 그 의미를 이해할 수 있도록 중립적인 벤치마크를 제공합니다.
사양에 익숙한 개발자는 품질 보안 감사를 통해 발견할 수 있는 많은 문제를 예상하여 수정 비용을 줄이고 자신의 기술과 효율성을 향상시킬 수 있습니다.
지금까지 스마트 계약의 보안을 보장하는 가장 좋은 방법은 평판이 좋은 회사를 선택하여 감사를 수행하거나 두 곳을 선택하여 안전한 편을 드는 것이었습니다. 이러한 회사가 존재하지만 일부는 오랜 작업 백로그를 가지고 있습니다. 그동안 자신의 작업을 검증할 외부 기준이 없었기 때문에 우수한 신인들도 시장에서 자리 잡기가 어려웠습니다.
이 EEA 사양은 생태계의 이러한 격차를 해결하기 위한 것입니다. 받고 있는 보안 감사가 해당 EthTrust 보안 수준을 준수하는지 확인하면 이제 이 중요한 서비스에 대해 중립적이고 업계에서 검증된 품질 검사를 제공합니다.
이 사양은 스마트 계약 보안에 많은 주요 참여자가 참여하여 개발되었기 때문에 한 회사의 의견이 아닌 독립적인 품질 표시 역할을 합니다. 기고자의 감사에서 언급한 바와 같이, 업계의 우수한 품질 표준을 뒷받침하는지 확인하기 위해 여러 경쟁 조직의 수많은 보안 전문가가 교차 확인했습니다.
이 사양은 여러 소스의 보안 취약성을 해결하기 위해 지난 몇 년 동안 개발되었습니다. 마찬가지로, 여러 EEA 회원 조직에서 일하는 전문가의 심층 검토를 통해 최대한 명확하게 했습니다.
보안에 있어 어느 정도의 투명성이 중요하므로, 사양 초안 미완성 작업이 진행 중인 동안에도 일반에 공개되었습니다. 첫 번째 버전은 Solidity로 작성된 계약에 중점을 두고 있지만 EVM을 실행하는 모든 블록체인과 관련이 있습니다.
EEA 사양으로 게시된 첫 번째 버전과 함께 작업 그룹은 피드백을 수집하고 사용 방법을 연구할 뿐만 아니라 끊임없이 진화하는 보안 분야를 주시하여 적절할 때 업데이트된 버전을 생성할 계획입니다.
다른 미래 활동에서 그룹과 EEA는 인증 체계 및 추가 도구와 같은 작업을 고려하여 채택을 지원하고 이더리움 생태계의 전반적인 보안을 높일 수도 있습니다.
현재로서는 전체 생태계가 그 어느 때보다 안전하게 구축할 수 있는 강력한 기반을 제공하게 되어 기쁩니다. 이는 우수한 이더리움 개발자가 스마트 계약에 의해 뒷받침되는 실제 가치와 중요한 프로세스를 보호할 수 있는 능력에 대한 신뢰 증가를 정당화합니다. 작업 그룹은 이제 사양을 유지하고 이 작업을 다음 단계로 끌어올리기 위해 다음 헌장을 작성하고 추가 구성원을 모집하고 있습니다.
EEA 멤버십의 다양한 혜택에 대해 알아보려면 다음에서 팀원 James Harsh에게 문의하십시오. 또는 방문 https://entethalliance.org/become-a-member/.
