Kako močna je varnost vaše pametne pogodbe? Kdo pravi?

Avtor Chaals Nevile, direktor tehničnih programov EGP in urednik specifikacije ravni varnosti ETH EthTrust v1

Delovna skupina ETH za varnostne ravni EEA je nedavno objavila različico 1 Specifikacija varnostnih ravni EGP EthTrust. To je pomembna nova tehnična specifikacija EGP, ki opisuje zahteve za varnostne revizije pametnih pogodb. Z naraščajočo vrednostjo Ethereum Mainnet in vse večjo vlogo pametnih pogodb Solidity/EVM v številnih verigah blokov postaja ta tema samo še pomembnejša.

Specifikacija določa tri ravni zahtev, od tistih, ki jih je mogoče samodejno testirati s programsko opremo (raven varnosti [S]), do temeljite analize, ki zajema kakovost kodiranja in točnost dokumentacije.

Preverjanje varnostne ravni [S] za očitne težave morda zadostuje za kos preproste kode majhne vrednosti, medtem ko popolna statična analiza strokovnjaka za zagotovitev, da vaša koda izpolnjuje zahteve varnostne ravni [M], zagotavlja tuja jamstva za pomembne pogodbe . Raven varnosti [Q] s poglobljeno in skrbno oceno poslovne logike in kakovosti kodiranja je primernejša za kritično pogodbo, ki bo obravnavala veliko vrednost, ali za kodo, ki bo ponovno uporabljena v več projektih.

Varnostni presojevalci, ki se sklicujejo na to specifikacijo, lahko pokažejo, da pokrivajo paleto znanih ranljivosti v svojih postopkih testiranja. To zagotavlja nevtralno merilo uspešnosti, ki strankam pomaga izbrati ustrezno raven varnostnega pregleda in razumeti njegove posledice.

Razvijalci, ki so seznanjeni s specifikacijo, bodo lahko predvideli številne težave, ki bi jih odkrila kakovostna varnostna revizija, s čimer bi zmanjšali stroške sanacije in izboljšali svoje sposobnosti in učinkovitost.

Do zdaj je bil najboljši pristop za zagotavljanje varnosti pametnih pogodb izbira uglednega podjetja za izvedbo revizije ali morda dveh, da smo na varni strani. Čeprav ta podjetja obstajajo, imajo nekatera dolge zaostanke pri delu. Medtem pa so se še tako kakovostni novinci težko uveljavili na trgu, saj ni bilo zunanjega standarda, ki bi potrdil njihovo delo.

Ta specifikacija EEA je namenjena odpravi te vrzeli v ekosistemu. Zagotavljanje, da je varnostna revizija, ki jo prejemate, skladna z ustrezno varnostno stopnjo EthTrust, zdaj ponuja nevtralno, industrijsko potrjeno preverjanje kakovosti za to kritično storitev.

Ker je bila ta specifikacija razvita s sodelovanjem številnih glavnih akterjev na področju varnosti pametnih pogodb, služi kot neodvisen znak kakovosti in ne kot mnenje enega podjetja. Kot je navedeno v zahvalah sodelujočih, so ga preizkusili številni varnostni strokovnjaki iz več konkurenčnih organizacij, da bi zagotovili, da podpira dobre standarde kakovosti za industrijo.

Ta specifikacija je bila razvita v zadnjih nekaj letih in obravnava varnostne ranljivosti iz več virov. Enako so poglobljeni pregledi strokovnjakov, ki delajo v več organizacijah članicah EGP, pomagali, da je bilo čim bolj jasno.

Ker je pri varnosti pomembna določena stopnja preglednosti, je osnutki specifikacij so bili dostopni javnosti, tudi ko so bili nedokončano delo. Prva različica se osredotoča na pogodbe, napisane v Solidityju, vendar je pomembna za katero koli verigo blokov, ki poganja EVM.

S prvo različico, objavljeno kot specifikacija EGP, namerava delovna skupina zbrati povratne informacije in preučiti, kako se uporablja, ter spremljati nenehno razvijajoče se področje varnosti, da bi izdelala posodobljeno različico, ko bo to primerno.

V drugih prihodnjih dejavnostih lahko skupina in EEA razmislita tudi o delu, kot so certifikacijske sheme in nadaljnja orodja za podporo sprejetju in povečanju splošne varnosti ekosistema Ethereum.

Zaenkrat smo veseli, da smo zagotovili trdne temelje za celoten ekosistem, na katerem lahko gradimo varneje kot kdaj koli prej, kar upravičuje povečano zaupanje v sposobnost kakovostnih razvijalcev Ethereuma, da zaščitijo resnično vrednost in pomembne procese, podprte s pametnimi pogodbami. Delovna skupina zdaj pripravlja osnutek svoje naslednje listine in zaposluje nove člane, da bi ohranila specifikacijo in to delo dvignila na višjo raven.

Če želite izvedeti več o številnih prednostih članstva v EGP, se obrnite na člana ekipe Jamesa Harsha na  ali obiščite https://entethalliance.org/become-a-member/.

Sledite nam na Twitter, LinkedIn in Facebook  da ostanete na tekočem z vsem, kar zadeva EGP.