在网络安全评测体系中,漏洞分级、分类的标准化研究是评测十分重要的基础环节,建立统一的漏洞定级标准化方案对统一行业认知、提升行业技术安全、建立健全安全测评体系具有重要意义。前期很多区块链企业和团队在发行漏洞悬赏计划时,由于没有可供直接参考的统一标准,往往都会按照各自的理解定义漏洞的威胁等级;而安全厂商也会根据各自对CVSS的理解制定出不同的评定标准。当前区块链生态中各个角色对于安全漏洞的认知并不统一,甚至分歧较大。亟需建立一套针对区块链技术的、被行业普遍认可的定级细则,明确漏洞分析原则,并给出确定且可执行的威胁等级评定参考。?在这一背景下,国家区块链漏洞库联合行业安全企业联合发布《区块链漏洞定级细则》。《细则》整体分为《公链系统漏洞定级细则》、《联盟链系统漏洞定级细则》、《智能合约漏洞定级细则》、《外围系统漏洞定级细则》,主要依据“危害程度”和“利用难度”等方面分析,将漏洞分为高、中、低三个威胁等级,且每种危害和难度的描述中都罗列了非常详细的参考条目,基本涵盖了区块链领域可能遇到的大部分漏洞情况,可以帮助使用者快速定位和分析漏洞。同时依托CVSS2.0,力争实现与传统基础领域漏洞规则的互通,从大网络安全的角度打通区块链新兴领域与传统领域对于漏洞的认知和定义。?当前,国内外对于区块链的安全评测体系尚不成熟。在这一背景下,国家区块链漏洞库积极探索区块链安全规范,联合行业力量,努力形成可操作、可执行、可量化的区块链漏洞定级细则,以推动区块链行业安全有序发展,助力我国在区块链新技术领域占据领先地位。目前《区块链漏洞定级细则》仅为初始版本,后面将根据区块链安全的实际情况进行不断迭代修改。同时也欢迎各安全厂商、白帽、区块链参与者提出宝贵意见,共同帮助该细则的完善和提升。?
国家区块链新基建中部首个“星火·链网”在汉上线:1月24日消息,国家区块链新基建设施“星火·链网”中部首个骨干节点在武汉市汉阳区正式上线,配套园区武汉星火数字产业大楼揭牌,该区同时发布促进区块链产业发展的若干政策(试行)(征求意见稿)。
据了解,众多数字经济企业和项目到汉阳扎堆,“星火·链网”骨干节点的上线也是理由之一。该网是在工信部专项支持下,由中国信通院牵头、联合北航、北邮、中国联通等建设的国家区块链新型基础设施。它以代表产业数字化转型的工业互联网为主要应用场景,以网络标识这一数字化关键资源为突破口,推动区块链的应用发展,实现新基建的引擎作用。
汉阳还发布了《汉阳区促进区块链产业发展的若干政策(试行)(征求意见稿)》,从企业落户、人才引进、众创孵化、场景应用等方面,为入驻武汉星火数字产业大楼的区块链企业呈上全方位的支持。[2022/1/24 9:08:31]
联系方式:
国家区块链漏洞库收录双生树漏洞 此高危漏洞已修复:金色财经报道,根据CNVD国家区块链漏洞库漏洞通报,近期,国家区块链漏洞库收录了双生树漏洞。经测试,该漏洞的威胁程度为高危,该漏洞已修复。
漏洞原理:一些Merkle Tree(MT)构建算法实现中错误的加入了排序逻辑,使得对交易顺序的保护失效,导致攻击者可以在不改变区块哈希的前提下,篡改部分区块数据。
漏洞危害:针对所有使用了有漏洞的MT算法实现的区块链系统,可造成区块链系统静默分叉、双花攻击,或带有潜伏期的不可逆共识失败,即导致区块链的数据一致性破坏及不可逆的全网拒绝服务危害。[2020/12/31 16:08:49]
云南企业首进国家区块链信息服务备案名单:在国家网信办发布的第4批境内区块链信息服务备案的公告中,云南有5家企业入围备案名单,实现了云南省在国家区块链信息服务备案体系中“零”的突破。入围备案名单的包括云南群林科技有限公司、云南云烁巴克云科技有限公司、云南易见纹语科技有限公司、云南云链未来科技有限公司、瑞丽市利讯科技有限公司等5家企业的5项区块链服务。这对于云南省发展区块链产业,构建安全、规范、合法的区块链产业生态,指导区块链信息服务提供者建立健全服务规范具有重要意义。(昆明日报)[2020/11/6 11:47:23]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。