-
-
[分享]区块链智能合约自动化安全审计介绍
-
发表于: 2019-3-7 11:09 16139
-
区块链智能合约自动化安全审计介绍
近期,区块链技术比较火,并在不同的行业有所应用,如金融、游戏、版权、溯源等,其中出现过不少的安全问题,尤其是区块链的智能合约发展至今,暴露出的问题不少,智能合约的正确性和安全性面临着巨大的问题。市场上有安全公司,也推出各自的智能合约自动化安全审计平台。
我参与大有诚安科技公司的smartchainpeck安全团队的智能合约自动化安全审计系统(简称:SCAudit)的设计和评测工作,感觉其团队的产品很不错,分享给大家:)
下面是我引用官方的系统介绍:
SCAudit能够协助企业构建区块链智能合约的自动化安全检测审计,同时并基于强大自动化能力,SCAudit通过提供行业领先的自动化审计服务,对智能合约程序源代码逐行检查与分析,帮助区块链项目方在把智能合约部署到主网前发现安全隐患与编码漏洞,随后以书面文件形式通知项目方,促使项目方进行漏洞修复,为项目方提供可靠的安全监管。且全程是自动化的,它可以大大提高您检查结果的准确性和合规性,节省您的时间成本,让检查工作变得简单,变得更适合你的行业、组织标准。
首先,我们从SCAudit系统的架构进行分析,看看其是如何做到的。从事多年软件行业工作经验的我们都知道,好的系统架构,应考虑系统"耦合性","扩展性","可维护性"等方面,对于区块链智能合约安全审计,未来的适配扩大需求是比较重要的。举两个方面的这需求例子:
- 需求1: 目前使用比较金支持智能合约的区块链平台,主要是ETH,EOS,超级账本等,为了满足系统未来支持其它的区块链平台,我们在架构上,必需做到易扩展。
需求2: 智能合约安全check list 需求可扩展。
SCAudit系统在这几方面做到很好的架构设计。是如何做到的呢?我们贴出SCAudit 系统的官方的架构图:
通过官方的提供系统架构图来分析,设计比较合理:
- 底层的安全栓测引挚层,可以应对不同的区块链平台的智能合约的需求,做到扩展不同的引挚。
- 适配层,满足判定逻辑针对不同的安全栓测引挚进行适配,做到扩展性需求。
- check list 基准库,满足不同的标准的定义的安全风险等级个性要求。
- 调度模块,能做到全程自动化。
大有诚安科技公司的针对区块链智能合约自动化安全审计系统(SCAudit)系统,和目前市场中已有的智能合约安全审计系统相比,还是具有很强的的自有功能优势,如下:
物色功能 | 简介 |
---|---|
具备智能合约管理/标准规范管理/知识库功能 | 大有诚安科技的智能合约自动化审计平台(SCAudit)提供按行业,按类型,按厂商的智能合约存储管理;标准规范的上传下载管理,以及知识库查询。目前市面上其它公司智能合约审计产品尚不具备此功能 |
内置丰富及不断完善的智能合约安全专家check list经验库 | 大有诚安科技的智能合约自动化审计平台(SCAudit)内置强大的安全check list经验库,帮助用户固化专家级安全知识,自动完成智能合约安全检测 |
可扩展更新的智能合约安全检测checklist项、自定义checklist的安全风险值 | 当我们面对越来越多的区块链智能合约,如何分门别类的应对各式各样的合约,大有诚安科技的智能合约自动化审计平台(SCAudit)系统可以进行分类,并更新支持最新的安全检测checklistadm 项目,用户根据标准调整各项的安全风险值。 |
具备高效率、准确、无风险的检测能力 | “检测速度”、“准确性”、“无风险”是用户关注的“智能合约自动化审计平台(SCAudit)”的三项核心检测能力,大有诚安科技的智能合约自动化审计平台(SCAudit)具备“高效率”、“准确”、“无风险”的检测能力。 |
具备良好的扩展能力,可扩展支持更多的智能合约类型 | 大有诚安科技的智能合约自动化审计平台(SCAudit)具备引挚适配层以及引挚层,面对不同的智能合约类型,可快速开发具有良好的扩展能力。 |
我们知道,一个好的系统交互UI,是否操作便捷、简单易用很重要。大有诚安科技公司的智能合约自动化安全审计系统(SCAudit)在这方面做得不错,其提供企业安全管理比较好的产品的使用体验,适用于多种工作场景,并采用向导式的操作界面设计,简单易用。
官方提供的部分系统截图
大有诚安科技的智能合约自动化安全审计平台(SCAudit)有哪些应用场景呢,进行总结,其适用的场景如下:
- 合约符合性检测与考核
产品能够将各个智能合约历次的安全检查结果进行汇总和保存,能够方便地对各个智能合约的安全情况进行横向或纵向的比较,使得合约检测工作能够进行量化考核。
合约日常安全检测
通过产品的“立即审计检测”功能对智能合约的安全状况进行自查;安全管理人员可以通过产品的“调度审计检测”功能设定自动安全检测任务,对智能合约进行周期性的安全检查;通过自查和检查相结合的方式,增强全员的安全意识,提高合约安全性。合约上线安全辅助
为了防止智能合约“带风险上线”,必须加强智能合约上线安全管理,落实安全合规要求和修补安全风险,从而在智能合约上线前减少和消除安全隐患,有效预防和规避安全事故的发生。智能合约自动化安全审计平台(SCAudit)能够根据检测结果生成安全审计报告,指导项目组在区块链项目的智能合约并在上线前做好自查和安全代码修正工作,减少合约上线安全隐患。
以上是系统的简单介绍,具体需要了解的,大家可到其官网了解产品。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课