كما ذكرنا سابقاً ، فإن تطوير العقود الذكية يختلف عن تطوير البرامج التقليدية:
- يعد تطوير العقود الذكية أمرًا جديدًا ويتغير باستمرار.
- العقود الذكية غير قابلة للتغيير. لا يمكن تعديلها (إعادة نشرها فقط).
- تكلفة عالية للفشل. أكثر تشابهًا مع برمجة الأجهزة والخدمات المالية.
- معلومات العقود الذكية عامة ويمكن لأي شخص الاتصال بوظائفك العامة.
لقد راجعنا العديد من موجهات الهجوم الشائعة ، وناقشنا أفضل ممارسات العقود الذكية وأظهرنا لك أنماط تصميم لزيادة الأمان لتطبيقاتك الموزعة. جاءت الكثير من هذه المعلومات من العقول اللامعة في Diligence,، ذراع التدقيق وأمن العقود الذكي لشركة ConsenSys.
يوفر Diligence, عمليات تدقيق لأكبر الأسماء في قطاع blockchain ، بما في ذلكAave, 0x, Covantis, Aragon, Omisego, Horizon والمزيد.
إلى جانب عمليات التدقيق ، يوفر Diligence أيضًا تحليلًا أمنيًا آليًا من خلال أداتين رئيسيتين: MythX و Scribble.
MythX
MythX هي خدمة أمان عقد ذكية لإيثريوم تم إنشاؤها بواسطة ConsenSys Diligence.
خطوات البدء
- انتقل إلى https://mythx.io/
- انقر فوق الزر “تسجيل”
- أكمل استمارة التسجيل.
- سيكون لديك بعد ذلك خيار لاختيار خطة. يرجى تحديد “تجربة MythX & Buy Scans” وهذا سيسمح لك بإعداد حساب MythX بدون أي رسوم.
Scribble
يوفر Diligence أيضًا أداة تحليل أخرى تسمى Scribble ، وهي “التشويش كخدمة”.
Fuzzing هي طريقة عامة لأتمتة أمان الكمبيوتر تُجري بشكل أساسي ملايين الاختبارات مقابل قاعدة التعليمات البرمجية الخاصة بك. هناك القليل من الهيكل المتضمن ، لكن المفهوم العام ينطبق على جميع صناعات أمان الكمبيوتر الأخرى.
مصادر اضافية
- فيديو: Security by Design and Smart Contract Audits (Shayan Eskandari)
- يوتيوب: Diligence YouTube Channel
- الفيديو:Shift Left and DevSecOps (Joran Honig) من TruffleCon2020 حيث يتطرق جوران إلى مفهوم “Shift Left” لأنه ينطبق على أفضل ممارسات الأمان.
- فيديو: Shift Left and Automated Tooling (Joran Honig)
- مقالات: Collection of Smart Contract Best Practices from Diligence
إضافة تعليق