Bitcoin Core получает первый в истории сторонний аудит безопасности: вот результаты

Bitcoin Core, эталонная реализация, лежащая в основе большей части сети BTC, прошла то, что Brink описывает как первый в истории публичный сторонний аудит безопасности своего кода. Оценка была проведена компанией по безопасности Quarkslab, координировалась Фондом улучшения технологий с открытым исходным кодом (OSTIF) и финансировалась Brink при поддержке его доноров.

Bitcoin Core проходит исторический аудит безопасности

Объявляя о результатах, Майк Шмидт, соучредитель и исполнительный директор Brink, сказал, что аудит в значительной степени подтверждает давно сложившееся в сообществе мнение о стандартах разработки проекта. По его словам, "Результаты подтверждают то, что давние участники и пользователи уже знают: Bitcoin Core - это зрелая, консервативно спроектированная и исключительно хорошо протестированная кодовая база. Независимая Проверка безопасности только укрепляет эту уверенность. Эта оценка безопасности является контрольной точкой в миссии по дальнейшему обеспечению безопасности Биктоина, а не конечным пунктом".

Brink подчеркнул, что это первая публичная, внешняя Проверка безопасности Bitcoin Core. Организация заявила, что "в рамках миссии Brink по обеспечению безопасности и надежности программного обеспечения Bitcoin Core с открытым исходным кодом, мы недавно спонсировали независимый Аудит смарт-контракта кодовой базы Core. Это представляет собой первый публичный сторонний аудит Bitcoin Core".

Мотивация, по словам Brink, заключается в том, что "проект имеет сильный послужной список в области безопасности, но никогда не проходил внешнюю оценку безопасности. Мы хотели обеспечить дополнительный уровень гарантии для разработчиков, операторов узлов, держателей и предприятий, которые ежедневно полагаются на Bitcoin Core".

Объем аудита был явно сосредоточен на наиболее чувствительных с точки зрения безопасности частях системы. Brink объяснил, что "основное внимание было уделено наиболее критичным с точки зрения безопасности компонентам программного обеспечения, включая одноранговый сетевой уровень, мемпул, управление цепочкой и логику консенсуса". Для исследования этих областей Quarkslab использовал "ручной обзор кода, статический и динамический анализ, [и] продвинутое фаззинг-тестирование".

По результатам исследования, результат необычайно ясен. Brink сообщил, что "аудиторы Quarkslab не сообщили о критических, высоких или средних по серьезности проблемах. Они выявили два вывода низкой серьезности и тринадцать информационных рекомендаций, ни одна из которых не была классифицирована как уязвимость безопасности по критериям Core". Эта формулировка намеренна: проблемы рассматриваются как улучшения защиты и качества, а не как уязвимости, которые могут напрямую угрожать средствам или консенсусу.

Шмидт был осторожен, чтобы не представлять отчет как заявление о том, что программное обеспечение не содержит ошибок. Он написал, что "это не значит, что в программном обеспечении больше нет скрытых ошибок. Необходимо внести еще больше улучшений. Но этот аудит - хороший шаг на пути к тому, чтобы помочь обеспечить, чтобы Биктоин не сломался и продолжал служить миру как безопасная, надежная денежная сеть".

Brink также подчеркнул совместную структуру усилий. Организация отметила, что "оценка была проведена Quarkslab (@quarkslab) и была скоординирована с помощью Фонда улучшения технологий с открытым исходным кодом (OSTIF @OSTIFofficial). Финансирование было предоставлено Brink при поддержке наших доноров, с техническим сотрудничеством от Никласа Гёгге и Антуана Пуансо". Она публично поблагодарила "Quarkslab, OSTIF, Никласа и Антуана за их работу над этим проектом" и сделала полный отчет свободно доступным.

В своем резюме инициативы Brink связал аудит с более широкими гарантиями надежности Биктоина. "Финансирование независимых обзоров, подобных этому, - это лишь один из способов, которым мы помогаем обеспечить, чтобы Биктоин не сломался и продолжал служить миру как безопасная, надежная денежная сеть", - сказала организация, повторяя, что "независимый обзор только укрепляет эту уверенность".

На момент публикации BTC торговался по цене 91 764$.