9月27日訊息,國家網際網路應急中心聯合長亭科技、鏈安科技、安比實驗室和慢霧科技四家安全廠商,在cvss2.0漏洞評分系統基礎上,結合大量真實區塊鏈漏洞案例,共同起草國家區塊鏈漏洞庫《區塊鏈漏洞定級細則》,現向社會發布。
在網路安全評測體系中,漏洞分級、分類的標準化研究是評測十分重要的基礎環節,建立統一的漏洞定級標準化方案對統一行業認知、提公升行業技術安全、建立健全安全測評體系具有重要意義。前期很多區塊鏈企業和團隊在發行漏洞懸賞計畫時,由於沒有可供直接參考的統一標準,往往都會按照各自的理解定義漏洞的威脅等級;而安全廠商也會根據各自對cvss的理解制定出不同的評定標準。當前區塊鏈生態中各個角色對於安全漏洞的認知並不統一,甚至分歧較大。亟需建立一套針對區塊鏈技術的、被行業普遍認可的定級細則,明確漏洞分析原則,並給出確定且可執行的威脅等級評定參考。
《細則》整體分為《公鏈系統漏洞定級細則》、《聯盟鏈系統漏洞定級細則》、《智慧型合約漏洞定級細則》、《外圍系統漏洞定級細則》,主要依據「危害程度」和「利用難度」等方面分析,將漏洞分為高、中、低三個威脅等級,且每種危害和難度的描述中都羅列了非常詳細的參考條目,基本涵蓋了區塊鏈領域可能遇到的大部分漏洞情況,可以幫助使用者快速定位和分析漏洞。同時依託 cvss2.0,力爭實現與傳統基礎領域漏洞規則的互通,從大網路安全的角度打通區塊鏈新興領域與傳統領域對於漏洞的認知和定義。
國家區塊鏈漏洞庫《區塊鏈漏洞定級細則》發布
為進一步建立區塊鏈行業統一客觀的漏洞評級體系,建立健全區塊鏈安全的基礎設施,逐步改善區塊鏈領域的諸多安全問題,國家網際網路應急中心聯合長亭科技 成都鏈安科技 安比實驗室和慢霧科技四家安全廠商,在cvss2.0漏洞評分系統基礎上,結合大量真實區塊鏈漏洞案例,共同起草國家區塊鏈漏洞庫 區塊鏈漏洞定級細則...
區塊鏈TOP1重入漏洞之自我理解 原創
by 風之傳說 最近在研究區塊鏈方面的漏洞,智慧型合約top 1重入漏洞。在網上找了很多相關的文章,發現大部分都是通過 進行分析。話說,我們不了解應用場景,只是了解漏洞成因,只知其原理不知其過程,不便於我們的漏洞理解。在此之前,我們需要先了解乙個東西,the dao。在2016年6月18日被攻擊前募...
重磅!蜂巢區塊鏈獲最新國家軟體著作權證書
蜂巢hivechain平台是乙個去中心化的基於區塊鏈技術的視覺化操作平台,具有豐富強大的功能,該管理平台可以實現 提供基於區塊鏈技術的baas aiaas iaas等服務 最大限度簡化區塊鏈的技術應用,一鍵式智慧型合約生成。hivechain通過數字資產區塊鏈檔案數位化確權 底層檔案儲存開放協議支援...