Hvor sterk er sikkerheten til din smarte kontrakt? Sier hvem?

Av Chaals Nevile, EEA Director of Technical Programs, og redaktør av EEA EthTrust Security Levels Specification v1

EEAs EthTrust Security Levels Working Group publiserte nylig versjon 1 av EEA EthTrust sikkerhetsnivåspesifikasjon. Dette er en viktig ny EØS-teknisk spesifikasjon, som skisserer krav til sikkerhetsrevisjoner av smarte kontrakter. Med den økende verdien av Ethereum Mainnet, og den økende rollen til Solidity/EVM smarte kontrakter i mange blokkjeder, blir dette temaet bare viktigere.

Spesifikasjonen angir tre nivåer av krav, fra de som kan testes automatisk med et stykke programvare (Sikkerhetsnivå [S]), til en grundig analyse som dekker kodingskvalitet og nøyaktighet av dokumentasjonen.

Sikkerhetsnivå [S]-sjekken for åpenbare problemer kan være tilstrekkelig for en enkel kode med lav verdi, mens en fullstendig statisk analyse av en ekspert for å sikre at koden din oppfyller kravene til sikkerhetsnivå [M] gir fremmede garantier for viktige kontrakter . Sikkerhetsnivå [Q], med en dyp og nøye vurdering av forretningslogikk og kodingskvalitet er mer passende for en kritisk kontrakt som vil håndtere betydelig verdi, eller for kode som skal gjenbrukes i flere prosjekter.

Sikkerhetsrevisorer som refererer til denne spesifikasjonen kan vise at de dekker spekteret av kjente sårbarheter i testprosedyrene deres. Dette gir en nøytral målestokk for å hjelpe kundene med å velge et passende nivå for sikkerhetsgjennomgang og forstå implikasjonene.

Utviklere som er kjent med spesifikasjonen vil være i stand til å forutse mange problemer som en kvalitetssikkerhetsrevisjon vil avdekke, redusere kostnadene ved utbedring og forbedre sine egne ferdigheter og effektivitet.

Inntil nå har den beste tilnærmingen for å sikre at smarte kontrakter var sikre vært å velge et anerkjent selskap til å utføre revisjoner, eller kanskje to for å være på den sikre siden. Mens disse selskapene eksisterer, har noen et langt etterslep med arbeid. I mellomtiden har det vært vanskelig for selv nykommere av høy kvalitet å etablere seg i markedet, fordi det ikke fantes noen ekstern standard for å validere arbeidet deres.

Denne EØS-spesifikasjonen er ment å adressere dette gapet i økosystemet. Å sikre at sikkerhetsrevisjonen du får samsvarer med det tilsvarende EthTrust-sikkerhetsnivået, tilbyr nå en nøytral, bransjevalidert kvalitetssjekk for denne kritiske tjenesten.

Fordi denne spesifikasjonen er utviklet med deltakelse av mange av de store aktørene innen smart kontraktssikkerhet, fungerer den som et uavhengig kvalitetsmerke, snarere enn ett selskaps meninger. Som nevnt i anerkjennelsene fra bidragsytere, har den blitt krysssjekket av en rekke sikkerhetseksperter fra flere konkurrerende organisasjoner for å sikre at den underbygger gode kvalitetsstandarder for bransjen.

Denne spesifikasjonen har blitt utviklet i løpet av de siste par årene, og adresserer sikkerhetssårbarheter fra flere kilder. På samme måte har grundige vurderinger fra eksperter som jobber i flere EØS-medlemsorganisasjoner bidratt til å gjøre det så tydelig som mulig.

Ettersom et visst nivå av åpenhet er viktig i sikkerheten spesifikasjonsutkast var tilgjengelige for publikum selv mens de var et uferdig arbeid på gang. Den første versjonen fokuserer på kontrakter skrevet i Solidity, men er relevant for enhver blokkjede som kjører en EVM.

Med den første versjonen publisert som en EØS-spesifikasjon, planlegger arbeidsgruppen å samle tilbakemeldinger og studere hvordan den brukes, samt holde et øye med det stadig utviklende sikkerhetsfeltet, for å produsere en oppdatert versjon når det blir passende.

I andre fremtidige aktiviteter kan gruppen og EEA også vurdere arbeid som sertifiseringsordninger og ytterligere verktøy for å støtte adopsjon og øke den generelle sikkerheten til Ethereum-økosystemet.

Foreløpig er vi glade for å ha gitt et sterkt grunnlag for hele økosystemet å bygge på sikrere enn noen gang, noe som rettferdiggjør økt tillit til evnen til Ethereum-utviklere av høy kvalitet til å ivareta reell verdi og viktige prosesser underbygget av smarte kontrakter. Arbeidsgruppen utarbeider nå sitt neste charter og rekrutterer ytterligere medlemmer, for å opprettholde spesifikasjonen og ta dette arbeidet til neste nivå.

For å lære om de mange fordelene med EØS-medlemskap, ta kontakt med teammedlem James Harsh på  eller besøk https://entethalliance.org/become-a-member/.

Følg oss på Twitter, Linkedin og  Facebook  for å holde deg oppdatert på alt som har med EØS å gjøre.