Cât de puternică este securitatea contractului tău inteligent? Spune cine?

De Chaals Nevile, Director de Programe Tehnice SEE și Editor al Specificației Nivelurilor de Securitate EthTrust SEE v1

Grupul de lucru EthTrust Security Levels al AEE a publicat recent versiunea 1 a Specificația nivelurilor de securitate EEA EthTrust. Aceasta este o nouă specificație tehnică importantă a SEE, care evidențiază cerințele pentru auditurile de securitate ale contractelor inteligente. Odată cu creșterea valorii Ethereum Mainnet și rolul din ce în ce mai mare al contractelor inteligente Solidity/EVM în multe blockchain-uri, acest subiect devine din ce în ce mai important.

Specificația stabilește trei niveluri de cerințe, de la cele care pot fi testate automat cu un software (Nivel de securitate [S]), până la o analiză amănunțită care acoperă calitatea codificării și acuratețea documentației.

Verificarea nivelului de securitate [S] pentru probleme evidente ar putea fi suficientă pentru o bucată de cod simplu de valoare mică, în timp ce o analiză statică completă de către un expert pentru a se asigura că codul dvs. îndeplinește cerințele nivelului de securitate [M] oferă garanții străine pentru contractele importante . Nivelul de securitate [Q], cu o evaluare profundă și atentă a logicii de afaceri și a calității codificării, este mai potrivit pentru un contract critic care va gestiona o valoare substanțială sau pentru codul care va fi reutilizat în mai multe proiecte.

Auditorii de securitate care se referă la această specificație pot demonstra că acoperă gama de vulnerabilități cunoscute în procedurile lor de testare. Acest lucru oferă un punct de referință neutru, pentru a ajuta clienții să aleagă un nivel adecvat de evaluare a securității și să înțeleagă implicațiile acestuia.

Dezvoltatorii familiarizați cu specificația vor putea anticipa multe probleme pe care le-ar descoperi un audit de securitate de calitate, reducând costul remedierii și îmbunătățindu-și propriile abilități și eficiență.

Până acum, cea mai bună abordare pentru a vă asigura că contractele inteligente sunt sigure a fost să alegeți o companie de renume care să facă audituri, sau poate două pentru a fi în siguranță. În timp ce aceste companii există, unele au un restanțe lungi de muncă. Între timp, chiar și pentru noii veniți de înaltă calitate a fost greu să se stabilească pe piață, deoarece nu exista un standard extern care să le valideze munca.

Prezenta specificație SEE este menită să abordeze această lacună din ecosistem. Asigurarea că auditul de securitate pe care îl obțineți respectă nivelul de securitate corespunzător EthTrust oferă acum o verificare a calității neutră, validată de industrie pentru acest serviciu critic.

Deoarece această specificație a fost dezvoltată cu participarea multor jucători importanți în securitatea contractelor inteligente, servește ca o marcă de calitate independentă, mai degrabă decât opiniile unei companii. După cum s-a menționat în mulțumirile contribuitorilor, a fost verificat încrucișat de numeroși experți în securitate din mai multe organizații concurente pentru a se asigura că este la baza standardelor de calitate bune pentru industrie.

Această specificație a fost dezvoltată în ultimii doi ani, abordând vulnerabilitățile de securitate din mai multe surse. De asemenea, evaluările aprofundate ale experților care lucrează în mai multe organizații membre ale SEE au ajutat să fie cât mai clar posibil.

Întrucât un anumit nivel de transparență este important în securitate, proiecte de caiet de sarcini erau disponibile publicului chiar dacă erau o lucrare neterminată în curs de desfășurare. Prima versiune se concentrează pe contractele scrise în Solidity, dar este relevantă pentru orice blockchain care rulează un EVM.

Odată cu prima versiune publicată ca specificație SEE, Grupul de lucru intenționează să colecteze feedback și să studieze modul în care este utilizat, precum și să țină un ochi pe domeniul securității în continuă evoluție, pentru a produce o versiune actualizată atunci când acest lucru devine adecvat.

În alte activități viitoare, grupul și SEE pot lua în considerare, de asemenea, lucrări precum scheme de certificare și instrumente suplimentare pentru a sprijini adoptarea și a crește securitatea generală a ecosistemului Ethereum.

Deocamdată, suntem fericiți că am oferit o bază solidă pentru ca întregul ecosistem să se bazeze mai sigur ca niciodată, justificând o încredere sporită în capacitatea dezvoltatorilor Ethereum de calitate de a proteja valoarea reală și procesele importante susținute de contracte inteligente. Grupul de lucru își elaborează acum următoarea carte și recrutează alți membri, pentru a menține specificațiile și a duce această activitate la nivelul următor.

Pentru a afla despre numeroasele beneficii ale apartenenței la SEE, contactați membrul echipei James Harsh la  sau vizitaţi https://entethalliance.org/become-a-member/.

Urmareste-ne pe Twitter, LinkedIn și Facebook pentru a fi la curent cu toate aspectele legate de SEE.