为进一步建立统一客观的区块链行业脆弱性评级体系,建立和完善区块链安全基础设施,逐步改善区块链领域的诸多安全问题,国家互联网应急中心联合长汀科技、联安科技,艾比实验室与慢雾技术基于cvss2.0漏洞评分系统,结合大量真实的区块链漏洞案例,共同起草了国家区块链漏洞知识库《区块链漏洞分级规则》,现对外发布。
在网络安全评估系统中,漏洞分类和分类标准化的研究是评估中非常重要的基础环节。建立统一的脆弱性分级和标准化方案,对于统一行业认识,增强行业技术安全,建立和完善安全评价体系具有重要意义。在早期,很多区块链企业和团队往往根据自己的理解来定义漏洞的威胁级别,因为在发布漏洞奖励计划时没有统一的标准直接参考;安全厂商也会根据自己的理解制定不同的评估标准CVss公司。目前,区块链生态中各角色对安全漏洞的认知并不统一,甚至存在分歧。迫切需要建立一套业界普遍认可的区块链技术分级规则,明确脆弱性分析原则,为威胁等级评估的确定和实施提供参考。
在此背景下,国家区块链漏洞库与行业安全企业联合发布了《区块链漏洞分级规则》。该细则分为三类:公链系统脆弱性评级规则、联盟链系统脆弱性评级规则、智能合约脆弱性评级规则和外围系统脆弱性评级规则。在分析“危害程度”和“利用难度”的基础上,将漏洞分为高、中、低三个威胁级别,每一个危害和难点都在描述中列出,一个非常详细的参考条目基本涵盖了区块链领域可能遇到的大部分漏洞,可以帮助用户快速定位和分析漏洞。同时,依托cvss2.0,努力实现漏洞规则与传统基础领域的互操作性,从大网络安全的角度开启区块链新兴领域与传统领域之间对漏洞的认知和定义。
目前国内对区块链的安全性评价还不成熟。在此背景下,国家区块链脆弱性库积极探索区块链安全规范,结合行业力量,努力形成可操作、可执行、可量化的区块链脆弱性评级规则,促进区块链产业有序发展,助力中国占据领先地位在区块链新技术领域。
目前,“区块链漏洞分级规则”只是初始版本,将根据区块链安全的实际情况进行迭代修改。同时,我们也欢迎安全厂商、白帽子和区块链参与者提出宝贵意见,帮助改进和升级规则。
文章标题:国家区块链漏洞分类规则发布
文章链接:https://www.btchangqing.cn/111363.html
更新时间:2020年09月28日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。