Swarm智能合约套件和Bee源代码审计完毕▎v1.2.0版本已解决漏洞,敬待更新

今年年初，Swarm 基金会委托 Cure53 对 Bee 和 Swarm 智能合约套件进行源代码审计。审计在 Swarm 团队划定的范围内确定了十二个具有不同严重性级别的安全相关风险，这些风险现已得到解决和解决。

Cure53简介

Cure53 由 Dr.-Ing 创立。Mario Heiderich 在 2007 年。从那时起，他们对各种 Web 应用程序、在线服务、硬件接口、移动应用程序、库和加密工具进行了数百次渗透测试。

Cure53 的团队由六名高级测试人员组成，在 3 月和 4 月完成了这项任务。负责项目准备、执行和最终确定的 6 名团队成员总共投入了 33 天，以达到该项目的预期覆盖范围。

Cure53 被委托进行审计，因为他们在审计加密项目方面拥有丰富的经验，并且他们在测试和报告调查结果方面的严谨态度。

“没有严重问题通常是一个好兆头。然而，鉴于代码库还很年轻，而且正如前面提到的，除了一些未解决的设计和架构选择之外，它仍然有许多活动部分，因此不应将其视为最终结论。”

Cure53 报告

审计报告

审计在 Swarm 团队划定的范围内确定了十二个具有不同严重性级别的安全相关风险。

为了获得最佳的进展、覆盖范围和问题跟踪，该工作分为四个独立的工作包：

确定确切范围的威胁建模练习

针对 Ethswarm bee 的渗透测试和源代码审计

针对 bee-clef/clef 的渗透测试和 Delta 代码审计

针对 Swarm 相关 Solidity 文件的智能合约审计

项目中采用了白盒方法。Cure53 可以访问所有相关材料，包括各种组件背后的源代码和详细文档。最重要的是，与 Swarm 团队举行了几次会议和小型研讨会，以促进对本次审查对象的目标和技术特征的全面了解。

鉴于范围复杂，Swarm 开发团队提出了很多问题并及时回答了问题。

尽管该综合体的几个部分仍在“进行中”并且不断变化，但 Cure53 团队设法对工作包进行了良好的覆盖。如前所述，测试和审计团队设法发现了总共 12 项发现，其中 9 项被归类为安全漏洞，3 项被归类为具有较低利用潜力的一般弱点。应该注意的是，没有发现严重甚至高严重性的结果，这意味着大多数问题的结论是代表具有中等、低或信息分数的缺陷。

没有严重问题通常是一个好兆头。然而，鉴于软件组合还很年轻，并且如上所述，除了一些未解决的设计和架构选择之外，它不应该被视为结论性的结论。同时，由于这项工作发生在开发过程的早期，可以说 Swarm 团队表现出高度的安全和隐私意识。

落实审计建议

Swarm 基金会开发团队一直在彻底审查审计报告，并且在几个月的时间里一直在实施其建议。由于没有关键漏洞，这是一个持续的迭代过程，随着 v1.2.0 的发布而结束。

查看更多

—-

编译者/作者：达摩区块

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。