Добавить Автора

Перевод: Хаочэн Сюй

Рецензент: Кайл

Источник: Content Guild – Перевод

Проект ArConnect объявил, что завершил аудит своего исходного кода и успешно устранил выявленные проблемы.

ArConnect, ведущий кошелек в экосистеме Arweave, стал первым кошельком, прошедшим аудит безопасности в августе 2023 года. В сообщении говорится, что вторая проверка проводилась в течение 12 дней в апреле 2024 года и что безопасность является главным приоритетом.

Тейт Беренбаум, генеральный директор Community Labs, назвал отчет «надежным» и назвал его «гораздо более важным, чем любые показатели использования».

Последние результаты аудита были проведены компаниями Spearbit и Open Security и опубликованы в журнале Open Security Risk Assessment. Целью аудита является выявление потенциальных методов атаки на браузерное расширение ArConnect, которые могут быть использованы любыми внешними сторонами.

В отчете говорится, что при аудите использовались методы, разработанные Open Web Application Security Project (OWASP). Весь аудит проводился в Google Chrome с установленной разрабатываемой версией браузерного расширения ArConnect.

Аудиторы разработали специальные вредоносные доказательства концепции для проверки предполагаемых уязвимостей. Они также модифицировали и протестировали разрабатываемую версию браузерного расширения Connect со злонамеренно измененным исходным кодом, разместили веб-сервер с вредоносной полезной нагрузкой и отладили браузерное расширение.

Аудит безопасности выявил ноль критических рисков, один высокий риск и пять информационных уязвимостей. Однако в отчете говорится, что все обнаруженные проблемы были устранены только до информационной серьезности.

Описывая уязвимости зависимостей с открытым исходным кодом, которые в ходе аудита были оценены как высокий риск, аудиторы отметили, что безопасность зависимостей, которые также являются частью цепочки поставок программного обеспечения, является основной поверхностью атаки. В отчете говорится, что цепочка поставок может поставить под угрозу безопасность продукта в любой момент процесса разработки из-за вредоносного ПО, которое атакует сами инструменты разработчика или просто создает уязвимости в программном обеспечении.

«Основной риск ArConnect возникает из-за уязвимостей в зависимостях с открытым исходным кодом», — отметили аудиторы, добавив: «Community Labs должны постоянно обновлять и применять исходные исправления к зависимостям с открытым исходным кодом, чтобы предотвратить атаки в цепочке поставок».

Аудиторы также рекомендовали внести изменения в код для усиления браузерного расширения Connect.

🏆 Призы за «поимку ошибок»: если вы обнаружите в этой статье опечатки, неправильные предложения или неправильные описания, нажмите «Мне», чтобы сообщить об этом, и вы получите поощрения.

🔗 О PermaDAO: Официальный сайт | Twitter | Discord |