PANews 9月27日消息,國家互聯網應急中心聯合長亭科技、鏈安科技、安比實驗室和慢霧科技四家安全廠商,在CVSS2.0漏洞評分系統基礎上,結合大量真實區塊鏈漏洞案例,共同起草的國家區塊鏈漏洞庫《區塊鏈漏洞定級細則》正式發布。
在網絡安全評測體系中,漏洞分級、分類的標準化研究是評測十分重要的基礎環節,建立統一的漏洞定級標準化方案對統一行業認知、提升行業技術安全、建立健全安全測評體系具有重要意義。前期很多區塊鏈企業和團隊在發行漏洞懸賞計劃時,由於沒有可供直接參考的統一標準,往往都會按照各自的理解定義漏洞的威脅等級;而安全廠商也會根據各自對CVSS的理解制定出不同的評定標準。當前區塊鏈生態中各個角色對於安全漏洞的認知並不統一,甚至分歧較大。亟需建立一套針對區塊鏈技術的、被行業普遍認可的定級細則,明確漏洞分析原則,並給出確定且可執行的威脅等級評定參考。
在這一背景下,國家區塊鏈漏洞庫聯合行業安全企業聯合發布《區塊鏈漏洞定級細則》。 《細則》整體分為《公鏈系統漏洞定級細則》、《聯盟鏈系統漏洞定級細則》、《智能合約漏洞定級細則》、《外圍系統漏洞定級細則》,主要依據“危害程度”和“利用難度”等方面分析,將漏洞分為高、中、低三個威脅等級,且每種危害和難度的描述中都羅列了非常詳細的參考條目,基本涵蓋了區塊鏈領域可能遇到的大部分漏洞情況,可以幫助使用者快速定位和分析漏洞。同時依托CVSS2.0,力爭實現與傳統基礎領域漏洞規則的互通,從大網絡安全的角度打通區塊鏈新興領域與傳統領域對於漏洞的認知和定義。
目前《區塊鏈漏洞定級細則》僅為初始版本,後面將根據區塊鏈安全的實際情況進行不斷迭代修改。
相關細則:2、《聯盟鏈系統漏洞定級細則》v1.0
APP 
