成都链安助力《区块链漏洞定级细则》成功发布
近日,国家互联网应急中心在CNVD国家区块链漏洞库正式发布了《区块链漏洞定级细则》。
据悉,《细则》的发布,是建立区块链行业统一客观的漏洞评级体系,建立健全区块链安全的基础设施,逐步改善区块链领域的诸多安全问题的重要一步。
在评级体系中,成都链安重点提供了以联盟链系统为核心的漏洞定级细则,并在国家互联网应急中心的支持下,协同长亭科技、安比实验室和慢雾科技三家安全厂商,在CVSS2.0漏洞评分系统基础上,结合大量真实区块链漏洞案例,共同起草了该项细则。01
背景
在网络安全评测体系中,漏洞分级、分类的标准化研究是评测十分重要的基础环节,建立统一的漏洞定级标准化方案对统一行业认知、提升行业技术安全、建立健全安全测评体系具有重要意义。
前期很多区块链企业和团队在发行漏洞悬赏计划时,由于没有可供直接参考的统一标准,往往都会按照各自的理解定义漏洞的威胁等级;而安全厂商也会根据各自对CVSS的理解制定出不同的评定标准。当前区块链生态中各个角色对于安全漏洞的认知并不统一,甚至分歧较大。
亟需建立一套针对区块链技术的、被行业普遍认可的定级细则,明确漏洞分析原则,并给出确定且可执行的威胁等级评定参考。
02
特征
《区块链漏洞定级细则》整体分为《公链系统漏洞定级细则》、《联盟链系统漏洞定级细则》、《智能合约漏洞定级细则》、《外围系统漏洞定级细则》,主要依据“危害程度”和“利用难度”等方面分析,将漏洞分为高、中、低三个威胁等级,且每种危害和难度的描述中都罗列了非常详细的参考条目,基本涵盖了区块链领域可能遇到的大部分漏洞情况,可以帮助使用者快速定位和分析漏洞。
同时依托 CVSS2.0,力争实现与传统基础领域漏洞规则的互通,从大网络安全的角度打通区块链新兴领域与传统领域对于漏洞的认知和定义。
03
展望
当前,国内外对于区块链的安全评测体系尚不成熟。在这一背景下,国家区块链漏洞库积极探索区块链安全规范,联合行业力量,努力形成可操作、可执行、可量化的区块链漏洞定级细则,以推动区块链行业安全有序发展,助力我国在区块链新技术领域占据领先地位。
目前《区块链漏洞定级细则》仅为初始版本,后面将根据区块链安全的实际情况进行不断迭代修改。同时也欢迎各安全厂商、白帽、区块链参与者提出宝贵意见,共同帮助该细则的完善和提升。国家区块链漏洞库
由国家互联网应急中心运营,成都链安科技提供技术支持,通过号召和引导区块链安全厂商、白帽子、区块链企业等多方共同参与区块链安全生态建设,提高我国区块链漏洞和安全事件的发现、分析、预警,以及整体研究水平和应急处置能力,为我国区块链行业安全保障工作提供重要技术支撑和数据支持。成都链安科技
在信息时代发展“时与势”的理论高度下,网络安全和信息化成为了国家建设的新理念、新思想和新战略;数字经济成为了新的“经济引擎”;区块链技术也在国家信息化建设中扮演“核心技术自主创新突破口”的重要角色。
基于此,成都链安顺应时代发展方向,作为全球领先的区块链安全公司,深耕互联网区块链安全细分领域,致力研发区块链安全核心技术,并独创形式化验证技术,打造了“Beosin一站式区块链安全服务平台”,以此为核心形成有效的技术支持和解决方案矩阵,为政府监管和区块链企业提供安全检测与代码审计、虚拟资产追溯与反洗钱、安全防护、威胁情报、安全咨询和应急等全方位的安全服务与支持,实现区块链系统“安全检测→安全运行→安全监管”全生命周期的安全解决方案,为区块链产业发展保驾护航,努力贯彻“让区块链生态更安全”的历史使命。
目前,成都链安申请软件发明专利和著作权16项,并参与了工信部组织的多个区块链安全标准和白皮书的撰写。相关产品和服务已经为网信办、工信部一所、中国信通院、公安、日本金融厅、金融机构等多个政府监管机构提供技术服务和支撑,特别是,与中国信通院和国家互联网应急中心的“区块链安全技术检测中心”共同制定面向区块链系统的技术测评规范,依托其核心产品,联合为区块链企业提供包括功能、性能、安全方面的检测和评估服务,积累了丰富的技术测评经验和技术能力,且已经获得ISO9001、ISO27001、CCRC信息安全服务等多个安全方面的资质。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場