為進一步建立區塊鏈行業統一客觀的漏洞評級體系,建立健全區塊鏈安全的基礎設施,逐步改善區塊鏈領域的諸多安全問題,國家網際網路應急中心聯合長亭科技、成都鏈安科技、安比實驗室和慢霧科技四家安全廠商,在CVSS2.0漏洞評分系統基礎上,結合大量真實區塊鏈漏洞案例,共同起草國家區塊鏈漏洞庫《區塊鏈漏洞定級細則》,現向社會發布。
在網路安全評測體系中,漏洞分級、分類的標準化研究是評測十分重要的基礎環節,建立統一的漏洞定級標準化方案對統一行業認知、提升行業技術安全、建立健全 安全測評體系具有重要意義。前期很多區塊鏈企業和團隊在發行漏洞懸賞計劃時,由於沒有可供直接參考的統一標準,往往都會按照各自的理解定義漏洞的威脅等級;而安全廠商也會根據各自對CVSS的理解制定出不同的評定標準。當前區塊鏈生態中各個角色對於安全漏洞的認知並不統一,甚至分歧較大。亟需建立一套針對區塊鏈技術的、被行業普遍認可的定級細則,明確漏洞分析原則,並給出確定且可執行的威脅等級評定參考。
在這一背景下,國家區塊鏈漏洞庫聯合行業安全企業聯合釋出《區塊鏈漏洞定級細則》。《細則》整體分為《公鏈系統漏洞定級細則》、《聯盟鏈系統漏洞定級細則》、《智慧合約漏洞定級細則》、《外圍系統漏洞定級細則》,主要依據「危害程度」和「利用難度」等方面分析,將漏洞分為高、中、低三個威脅等級,且每種危害和難度的描述中都羅列了非常詳細的參考條目,基本涵蓋了區塊鏈領域可能遇到的大部分漏洞情況,可以幫助使用者快速定位和分析漏洞。同時依託 CVSS2.0,力爭實現與傳統基礎領域漏洞規則的互通,從大網路安全的角度打通區塊鏈新興領域與傳統領域對於漏洞的認知和定義。
當前,國內外對於區塊鏈的安全評測體系尚不成熟。在這一背景下,國家區塊鏈漏洞庫積極探索區塊鏈安全規範,聯合行業力量,努力形成可操作、可執行、可量化的區塊鏈漏洞定級細則,以推動區塊鏈行業安全有序發展,助力我國在區塊鏈新技術領域佔據領先地位。
目前《區塊鏈漏洞定級細則》僅為初始版本,後面將根據區塊鏈安全的實際情況進行不斷迭代修改。同時也歡迎各安全廠商、白帽、區塊鏈參與者提出寶貴意見,共同幫助該細則的完善和提升。
聯絡方式:cnvdbc@cert.org.cn
附件下載:
1、《公鏈系統漏洞定級細則》v1.0
2、《聯盟鏈系統漏洞定級細則》v1.0
3、《智慧合約漏洞定級細則》v1.0
4、《外圍系統漏洞定級細則》v1.0