ArConnect termine l'audit du code source et déclare que la sécurité est la priorité absolue

Auteur : ArweaveB
Traduction : Haocheng Xu
Critique : Kyle
Source : Content Guild – Traduction
Le projet ArConnect a annoncé avoir terminé un audit de son code source et résolu avec succès les problèmes exposés.
ArConnect, le portefeuille leader de l'écosystème Arweave, a été le premier portefeuille à subir un audit de sécurité en août 2023. Il a indiqué qu'un deuxième audit avait été réalisé sur 12 jours en avril 2024 et que la sécurité était la priorité absolue.
Tate Berenbaum, PDG de Community Labs, a qualifié le rapport de « solide » et qu'il était « bien plus important que n'importe quelle mesure d'utilisation ».
Les derniers résultats de l'audit ont été menés par Spearbit et Open Security et publiés dans l'Open Security Risk Assessment. Le but de l'audit est d'identifier les méthodes d'attaque potentielles contre l'extension de navigateur ArConnect qui pourraient être exploitées par des parties externes.
Le rapport indique que l'audit a utilisé des méthodes développées par l'Open Web Application Security Project (OWASP). L'intégralité de l'audit a été réalisée sur Google Chrome avec la version de développement de l'extension de navigateur ArConnect installée.
Les auditeurs ont développé des preuves de concept malveillantes personnalisées pour tester les vulnérabilités suspectées. Ils ont également modifié et testé une version de développement de l'extension de navigateur Connect avec un code source modifié de manière malveillante, hébergé un serveur Web avec une charge utile malveillante et débogué l'extension de navigateur.
L'audit de sécurité n'a révélé aucun risque critique, un risque élevé et cinq vulnérabilités informationnelles. Cependant, le rapport indique que tous les problèmes découverts ont été résolus uniquement à titre informatif.
Décrivant les vulnérabilités des dépendances open source considérées comme à haut risque lors de l'audit, les auditeurs ont noté que la sécurité des dépendances, qui font également partie de la chaîne d'approvisionnement logicielle, constitue une surface d'attaque majeure. Le rapport indique que la chaîne d'approvisionnement peut affecter la sécurité d'un produit à tout moment du processus de développement par le biais de logiciels malveillants qui attaquent les outils de développement eux-mêmes ou introduisent simplement des vulnérabilités dans le logiciel.
"Le principal risque d'ArConnect provient des vulnérabilités des dépendances open source", ont noté les auditeurs, ajoutant : "Les Community Labs doivent continuellement mettre à jour et appliquer des correctifs en amont aux dépendances open source pour empêcher les attaques de la chaîne d'approvisionnement."
Les auditeurs ont également recommandé des modifications du code pour renforcer l'extension du navigateur Connect.
🏆 Prix pour "attraper des bugs" : si vous trouvez des fautes de frappe, des phrases incorrectes ou des descriptions incorrectes dans cet article, cliquez sur moi pour le signaler et vous recevrez des récompenses.
🔗 À propos de PermaDAO : Site officiel | Twitter | Telegram Discord |
Découvrez-en plus sur le créateur

Dernières actualités
