應用鏈側鏈開發套件 5.0.0 和應用鏈核心 3.0.0 的外部安全審核
如去年年底已經宣布,應用鏈側鏈開發套件 5.0.0 和應用鏈核心 3.0.0 已成功通過了 Least Authority 的外部安全審核,Least Authority 是一家在區塊鏈行業擁有豐富經驗的著名安全審核公司。團隊希望在此博客文章中分享安全審核的動機,提供有關整個審核過程的更多詳細信息,並解釋最低權限在“安全審核報告”中給出的結果。
安全審核動機
應用鏈側鏈開發套件 5.0.0 和即將發布的主網版本應用鏈核心 3.0.0 標誌著Lisk項目的一個重要里程碑。除了大量的非協議改進之外,作為應用鏈核心 3.0.0 的一部分,還實施了 28 個Lisk改進提案(LIP)。由於大量更改和團隊對最高安全標準的承諾,對於我們而言,重要的是,作為外部組件的一部分,還要對新的Lisk協議,應用鏈側鏈開發套件 5.0.0 和即將發布的主網版本應用鏈核心 3.0.0 進行審查。安全審核。
軟件安全審核是對實現的審查,目的是檢查它是否符合安全標準,最佳實踐以及是否滿足相應的規範和安全聲明。特別是,這包括尋找軟件中的漏洞或錯誤。對於應用鏈這樣的公共區塊鏈,軟件安全至關重要,因為任何人都可以通過發送交易或偽造區塊與區塊鏈進行交互,因此可以輕鬆利用軟件中存在的任何漏洞。區塊鏈涉及的巨大貨幣價值也為攻擊者不斷尋找漏洞提供了巨大的動力。由於這些原因,主要發行版的獨立安全性審計已成為區塊鏈行業的普遍做法,並且已經建立了許多專門從事以區塊鍊為中心的安全性審計的審計公司。
考慮到這一點,團隊已經在應用鏈側鏈開發套件 5.0.0 和應用鏈核心 3.0.0 完成之前就開始準備進行安全審核。經過評估並與多家專門從事區塊鏈安全審計的公司進行了交談,應用鏈基金會最終憑藉其經驗和擁有豐富專業知識的強大團隊決定與最低授權機構簽約。他們的積極反饋和審核結果使團隊的安全標準在研發過程以及將應用鏈核心 3.0.0 發行到主網的後續步驟充滿信心。
審核程序
審核過程的第一重要部分是明確定義審核範圍。對於最低權限的安全審核,這是Lisk協議的設計和實現:
- 應用鏈側鏈開發套件 5.0.0:https://github.com/LiskHQ/lisk-sdk/tree/v5.0.0-alpha.3
- 鏈核心 3.0.0:https://github.com/LiskHQ/lisk-core/tree/v3.0.0-alpha.4
- 應用鏈側鏈協議:https://lisk.io/documentation/lisk-protocol
- 應用鏈側鏈改進提案(LIP):https://github.com/LiskHQ/lips
因此,審核涵蓋了整個協議,因此涵蓋了節點軟件的所有安全關鍵部分。例如,這包括對等層,事務池,應用鏈側鏈-BFT共識算法,簽名算法以及事務和塊的編碼和處理。您可以在“安全審核報告”的“覆蓋範圍”部分中找到有關範圍的詳細說明。
在完成應用鏈側鏈開發套件 5.0.0 和應用鏈核心 3.0.0 的開發後不久,我們與最低授權組織召開了會議,以啟動審核,討論範圍並闡明總體審核流程。從那時起,最低授權機構的安全專家就使用各種安全工具和技術(例如靜態代碼分析,模糊測試,針對依賴項的安全性檢查或手動檢查)來審查我們的文檔,規範和代碼。您可以在審計報告中找到有關其方法和方法的更多詳細信息。在整個審核過程中,團隊定期進行交流,回答出現的任何問題,團隊已經有機會直接解決他們與團隊分享的任何發現。
經過五週的協議和代碼審查,團隊收到了審計報告的初始版本。然後,團隊徹底分析了記錄在案的調查結果,並與最低權力機構進行了討論。對於某些調查結果,團隊在收到初始審核報告之前已經準備了一個修復程序。關於其他發現,團隊最終決定不更改實現,因為團隊不將其視為安全問題,更改實現將隱含其他缺點。對於初次審計報告中的所有發現,團隊還起草了詳細的答复,該答復也部分納入了最終發布的審計報告中。
在下一節中,團隊總結了報告中的一般反饋,並解釋了不同的發現。特別是,團隊要說明為什麼或沒有解決報告中提出的問題或建議的原因。
審核結果
一般意見
審計報告了應用鏈代碼庫的總體高質量,並稱讚應用鏈項目遵循以下有關安全性,軟件設計和代碼編寫的最佳實踐。應用鏈團隊一直致力於遵循這些領域的最高標準,並使用多種工具來保證高代碼質量。
“代碼寫得很好,並且始終遵循TypeScript的行業最佳實踐。”
任何軟件項目中非常重要的部分是文檔。由於區塊鍊是一個相對較新的領域,因此尤其如此。擁有寫得很好的文檔,團隊可以以節點操作員或側鏈開發人員的身份歡迎新成員加入團隊的社區。在這方面,審計發現團隊的文件編寫得很好,涵蓋了項目的所有重要方面。
“文檔全面,有用和準確。團隊讚揚應用鏈團隊全面介紹了系統設計選擇和設計決策的理由。”
簡潔和透明是應用鏈項目開發的主要價值觀。團隊的目標是開放,以最清晰,最客觀的方式傳達決策。審核團隊對文檔和LIP進行了補充,以深入了解設計選擇。最後,也許是最重要的一點是,審計強調了團隊遵循的強大安全方法。研究團隊正在努力提出安全的協議更新,並確保應用鏈區塊鏈的安全性。
“我們發現應用鏈團隊的工作非常注重安全性:他們已經預見到了數種潛在的攻擊並採取了緩解措施。”
有關應用鏈更多的信息,請繼續關注 9up.io,我們將會一直更新區塊鏈資訊。
原文參考來源:
https://lisk.io/blog/development/external-security-audit-lisk-sdk-5.0.0-and-lisk-core-3.0.0