Насколько надежна безопасность вашего смарт-контракта? Говорит Кто?

Чаалс Невил, директор технических программ ЕЭЗ и редактор спецификации уровней безопасности EthTrust v1 ЕЭЗ

Рабочая группа ЕЭЗ по уровням безопасности EthTrust недавно опубликовала первую версию Спецификация уровней безопасности EthTrust в ЕЭЗ. Это важная новая техническая спецификация ЕЭЗ, определяющая требования к аудиту безопасности смарт-контрактов. С ростом ценности Ethereum Mainnet и возрастающей роли смарт-контрактов Solidity/EVM во многих блокчейнах эта тема становится все более важной.

Спецификация устанавливает три уровня требований: от тех, которые могут быть протестированы автоматически с помощью программного обеспечения (уровень безопасности [S]), до тщательного анализа качества кодирования и точности документации.

Проверка уровня безопасности [S] на наличие очевидных проблем может быть достаточной для фрагмента простого кода с низкой ценностью, в то время как полный статический анализ экспертом, чтобы убедиться, что ваш код соответствует требованиям уровня безопасности [M], обеспечивает более странные гарантии для важных контрактов. . Уровень безопасности [Q] с глубокой и тщательной оценкой бизнес-логики и качества кодирования больше подходит для критически важного контракта, который будет обрабатывать существенную ценность, или для кода, который будет повторно использоваться в нескольких проектах.

Аудиторы безопасности, которые ссылаются на эту спецификацию, могут показать, что они охватывают весь спектр известных уязвимостей в своих процедурах тестирования. Это обеспечивает нейтральный контрольный показатель, помогающий клиентам выбрать подходящий уровень проверки безопасности и понять его последствия.

Разработчики, знакомые со спецификацией, смогут предвидеть многие проблемы, которые выявляет качественный аудит безопасности, снижая стоимость исправления и повышая свои навыки и эффективность.

До сих пор лучший подход к обеспечению безопасности смарт-контрактов заключался в том, чтобы выбрать авторитетную компанию для проведения аудита или, возможно, две, чтобы быть в безопасности. Хотя эти компании существуют, некоторые из них имеют большой объем незавершенных работ. Между тем даже высококлассным новичкам было трудно зарекомендовать себя на рынке, потому что не было внешнего стандарта, подтверждающего их работу.

Эта спецификация ЕАОС предназначена для устранения этого пробела в экосистеме. Обеспечение того, чтобы аудит безопасности, который вы получаете, соответствовал соответствующему уровню безопасности EthTrust, теперь предлагает нейтральную, проверенную в отрасли проверку качества для этой критически важной услуги.

Поскольку эта спецификация была разработана при участии многих крупных игроков в области безопасности смарт-контрактов, она служит независимым знаком качества, а не мнением одной компании. Как отмечается в благодарностях участников, многочисленные эксперты по безопасности из нескольких конкурирующих организаций перепроверили его, чтобы убедиться, что он соответствует высоким стандартам качества в отрасли.

Эта спецификация разрабатывалась в течение последних нескольких лет для устранения уязвимостей безопасности из нескольких источников. Точно так же подробные обзоры экспертов, работающих в нескольких организациях-членах ЕЭЗ, помогли сделать его максимально ясным.

Поскольку для обеспечения безопасности важен определенный уровень прозрачности, проекты спецификаций были доступны для публики, даже когда они находились в незавершенном состоянии. Первая версия ориентирована на контракты, написанные в Solidity, но применима к любой цепочке блоков, на которой работает EVM.

С первой версией, опубликованной как спецификация ЕАОС, рабочая группа планирует собирать отзывы и изучать, как она используется, а также следить за постоянно развивающейся областью безопасности, чтобы выпускать обновленную версию, когда это станет уместным.

В других будущих мероприятиях группа и ЕАОС могут также рассмотреть такие работы, как схемы сертификации и дополнительные инструменты для поддержки внедрения и повышения общей безопасности экосистемы Ethereum.

На данный момент мы рады, что заложили прочную основу для более безопасной работы всей экосистемы, чем когда-либо, оправдывая повышенное доверие к способности качественных разработчиков Ethereum защищать реальную ценность и важные процессы, основанные на смарт-контрактах. В настоящее время рабочая группа разрабатывает свой следующий устав и набирает новых членов, чтобы сохранить спецификацию и вывести эту работу на новый уровень.

Чтобы узнать о многих преимуществах членства в ЕЭЗ, обратитесь к члену команды Джеймсу Харшу по адресу  или посетите https://entethalliance.org/become-a-member/.

Подпишитесь на нас в Twitter, LinkedIn и что его цель чтобы быть в курсе всего, что происходит в ЕЭЗ.