作者:Chaals Nevile,EEA 技术项目总监,EEA EthTrust Security Levels Specification v1 编辑
EEA 的 EthTrust 安全级别工作组最近发布了第 1 版 EEA EthTrust 安全级别规范. 这是一个重要的新 EEA 技术规范,概述了智能合约安全审计的要求。 随着以太坊主网价值的增加,以及 Solidity/EVM 智能合约在许多区块链中的作用越来越大,这个话题变得越来越重要。
该规范列出了三个级别的要求,从可以使用软件自动测试的要求(安全级别 [S])到涵盖编码质量和文档准确性的全面分析。
安全级别 [S] 对明显问题的检查对于一段低价值的简单代码可能就足够了,而由专家进行的完整静态分析以确保您的代码符合安全级别 [M] 的要求为重要合约提供了陌生人保证. 安全级别 [Q],对业务逻辑和编码质量进行深入而仔细的评估,更适合处理大量价值的关键合同,或将在多个项目中重用的代码。
参考本规范的安全审核员可以证明他们涵盖了测试过程中的所有已知漏洞。 这提供了一个中立的基准,以帮助客户选择适当的安全审查级别并了解其含义。
熟悉该规范的开发人员将能够预测质量安全审计会发现的许多问题,从而降低补救成本并提高他们自己的技能和效率。
到目前为止,确保智能合约安全的最佳方法是选择一家信誉良好的公司进行审计,或者选择两家公司以确保安全。 虽然这些公司存在,但有些公司的工作积压已久。 同时,即使是高素质的新人也很难在市场上站稳脚跟,因为没有外部标准来验证他们的工作。
该 EEA 规范旨在解决生态系统中的这一差距。 确保您获得的安全审核符合相应的 EthTrust 安全级别,现在可以为这项关键服务提供中立的、经过行业验证的质量检查。
由于该规范是在智能合约安全领域的许多主要参与者的参与下开发的,因此它是一个独立的质量标志,而不是一家公司的意见。 正如贡献者致谢中所指出的,它已经过来自多个竞争组织的众多安全专家的交叉检查,以确保它支持行业的良好质量标准。
该规范是在过去几年中开发的,解决了来自多个来源的安全漏洞。 同样,来自多个 EEA 成员组织的专家的深入审查有助于使其尽可能清晰。
由于一定程度的透明度在安全方面很重要,因此 规范草案 即使它们是未完成的工作,也可供公众使用。 第一个版本侧重于用 Solidity 编写的合约,但与任何运行 EVM 的区块链相关。
随着作为 EEA 规范发布的第一个版本,工作组计划收集反馈并研究它的使用方式,并密切关注不断发展的安全领域,以便在适当的时候生成更新版本。
在未来的其他活动中,该小组和 EEA 还可能考虑开展认证计划和进一步工具等工作,以支持采用并提高以太坊生态系统的整体安全性。
目前,我们很高兴为整个生态系统提供了比以往更安全的基础,这证明了对优质以太坊开发人员保护智能合约支持的真实价值和重要流程的能力的信任度增加是合理的。 工作组现在正在起草下一份章程并招募更多成员,以维护规范并将这项工作提升到一个新的水平。
要了解 EEA 会员资格的诸多好处,请联系团队成员 James Harsh: 或访问 https://entethalliance.org/become-a-member/.
