Добавить Автора
Перевод: Хаочэн Сюй
Рецензент: Кайл
Источник: Content Guild – Перевод
Проект ArConnect объявил, что завершил аудит своего исходного кода и успешно устранил выявленные проблемы.
ArConnect, ведущий кошелек в экосистеме Arweave, стал первым кошельком, прошедшим аудит безопасности в августе 2023 года. В сообщении говорится, что вторая проверка проводилась в течение 12 дней в апреле 2024 года и что безопасность является главным приоритетом.
Тейт Беренбаум, генеральный директор Community Labs, назвал отчет «надежным» и назвал его «гораздо более важным, чем любые показатели использования».
Последние результаты аудита были проведены компаниями Spearbit и Open Security и опубликованы в журнале Open Security Risk Assessment. Целью аудита является выявление потенциальных методов атаки на браузерное расширение ArConnect, которые могут быть использованы любыми внешними сторонами.
В отчете говорится, что при аудите использовались методы, разработанные Open Web Application Security Project (OWASP). Весь аудит проводился в Google Chrome с установленной разрабатываемой версией браузерного расширения ArConnect.
Аудиторы разработали специальные вредоносные доказательства концепции для проверки предполагаемых уязвимостей. Они также модифицировали и протестировали разрабатываемую версию браузерного расширения Connect со злонамеренно измененным исходным кодом, разместили веб-сервер с вредоносной полезной нагрузкой и отладили браузерное расширение.
Аудит безопасности выявил ноль критических рисков, один высокий риск и пять информационных уязвимостей. Однако в отчете говорится, что все обнаруженные проблемы были устранены только до информационной серьезности.
Описывая уязвимости зависимостей с открытым исходным кодом, которые в ходе аудита были оценены как высокий риск, аудиторы отметили, что безопасность зависимостей, которые также являются частью цепочки поставок программного обеспечения, является основной поверхностью атаки. В отчете говорится, что цепочка поставок может поставить под угрозу безопасность продукта в любой момент процесса разработки из-за вредоносного ПО, которое атакует сами инструменты разработчика или просто создает уязвимости в программном обеспечении.
«Основной риск ArConnect возникает из-за уязвимостей в зависимостях с открытым исходным кодом», — отметили аудиторы, добавив: «Community Labs должны постоянно обновлять и применять исходные исправления к зависимостям с открытым исходным кодом, чтобы предотвратить атаки в цепочке поставок».
Аудиторы также рекомендовали внести изменения в код для усиления браузерного расширения Connect.
🏆 Призы за «поимку ошибок»: если вы обнаружите в этой статье опечатки, неправильные предложения или неправильные описания, нажмите «Мне», чтобы сообщить об этом, и вы получите поощрения.
🔗 О PermaDAO: Официальный сайт | Twitter | Discord |