Autor: ArweaveB
Tłumaczenie: Haocheng Xu
Recenzent: Kyle
Źródło: Gildia treści — tłumaczenie
Projekt ArConnect ogłosił, że zakończył audyt swojego kodu źródłowego i pomyślnie naprawił ujawnione problemy.
ArConnect, wiodący portfel w ekosystemie Arweave, był pierwszym portfelem, który przeszedł audyt bezpieczeństwa w sierpniu 2023 r. Stwierdzono, że w kwietniu 2024 r. w ciągu 12 dni przeprowadzono drugi audyt i że bezpieczeństwo było najwyższym priorytetem.
Tate Berenbaum, dyrektor generalny Community Labs, nazwał raport „solidnym” i stwierdził, że jest on „znacznie ważniejszy niż jakikolwiek wskaźnik wykorzystania”.
Najnowsze wyniki audytu zostały przeprowadzone przez Spearbit i Open Security i opublikowane w Open Security Risk Assessment. Celem audytu jest identyfikacja potencjalnych metod ataku na rozszerzenie przeglądarki ArConnect, które mogą zostać wykorzystane przez strony zewnętrzne.
W raporcie wskazano, że w audycie wykorzystano metody opracowane przez Open Web Application Security Project (OWASP). Cały audyt został przeprowadzony na przeglądarce Google Chrome z zainstalowaną rozwojową wersją rozszerzenia ArConnect.
Audytorzy opracowali niestandardową weryfikację koncepcji złośliwego oprogramowania w celu przetestowania podejrzanych luk w zabezpieczeniach. Zmodyfikowali także i przetestowali wersję rozwojową rozszerzenia przeglądarki Connect ze złośliwie zmodyfikowanym kodem źródłowym, hostowali serwer WWW ze złośliwym ładunkiem i debugowali rozszerzenie przeglądarki.
Audyt bezpieczeństwa nie wykazał żadnych zagrożeń krytycznych, jednego wysokiego ryzyka i pięciu luk informacyjnych. Jednak w raporcie stwierdza się, że wszystkie wykryte problemy zostały naprawione jedynie z wagą informacyjną.
Opisując luki w zabezpieczeniach oprogramowania open source, które w trakcie kontroli uznano za wysokie ryzyko, audytorzy zauważyli, że główną powierzchnią ataku jest bezpieczeństwo zależności, które są również częścią łańcucha dostaw oprogramowania. W raporcie wskazano, że łańcuch dostaw może mieć wpływ na bezpieczeństwo produktu w dowolnym momencie procesu rozwoju poprzez złośliwe oprogramowanie, które atakuje same narzędzia programistyczne lub po prostu wprowadza luki w oprogramowaniu.
„Główne ryzyko ArConnect wynika z luk w zabezpieczeniach zależności typu open source” – zauważyli audytorzy, dodając: „Laboratoria społecznościowe muszą stale aktualizować i stosować łatki wyższego szczebla do zależności typu open source, aby zapobiegać atakom na łańcuch dostaw”.
Audytorzy zalecili również zmiany w kodzie w celu wzmocnienia rozszerzenia przeglądarki Connect.
🏆 Nagrody za „łapanie błędów”: Jeśli znajdziesz literówki, nieprawidłowe zdania lub nieprawidłowe opisy w tym artykule, kliknij mnie, aby to zgłosić, a otrzymasz zachęty.
🔗 O PermaDAO: Oficjalna strona internetowa |. Twitter |. Telegram |. Medium |