1. 首页
  2. 新闻

a16z:如何建立提高智能合约安全性的开发流程

Web3 项目在开发生命周期的各个阶段都应考虑添加保障安全性的流程。

Web3 项目在开发生命周期的各个阶段都应考虑添加保障安全性的流程。

许多发生在 Web3 项目上的黑客攻击都可以通过加强智能合约的安全性进行避免。

通常,攻击者会发现并利用整个软件开发环节中的一些缺陷 —— 从设计到部署和维护以及发布新代码等一系列步骤。如果拥有一套标准的智能合约开发和危险应对流程,我们相信安全事件会相应减少。

本篇文章的目的是概述 Web3 建设者、开发人员和安全团队在设计、开发和维护智能合约系统时必须考虑的核心安全因素。以下框架讨论了应在整个软件开发生命周期中实施的八种核心安全因素 —— 从威胁建模到应急响应准备。

在了解智能合约安全防护之前,要先了解软件的开发阶段。软件开发可以分为以下五个阶段:

设计:开发人员描述系统所需的功能和操作,包括重要的基准和固定的属性。

开发:开发人员编写系统的代码。

测试和审查:开发人员将所有模块放在一个测试环境中运行,以此评估代码的准确性和稳定性。

部署:开发人员将系统投入实际环境。

维护:开发人员评估和修改系统以确保它执行预期的功能。

有了这个基本开发周期的基础,现在我们可以深入了解每个步骤中影响智能合约安全的注意事项。下图将需要考虑的因素对应到相关的开发阶段。需要注意的是,环节中的某些步骤有多方面安全考虑:

a16z:如何建立提高智能合约安全性的开发流程

如上所示,软件开发生命周期不一定总是遵循线性路径。在实践中,可能出现重叠或延伸到其他阶段的情况。某些步骤可能在每个版本中都需要重复。一些任务 —— 例如测试和安全审查 —— 可能需要自始至终执行。

上述的软件生命周期和相应的安全注意事项为促进智能合约的安全性提供了有用的基础信息,但我们将在下文中对其进行更详细地研究,使得理解、应用和分享这些实践变得尽可能简单,并具体分析关键问题:What、Why 以及 How。

设计阶段的智能合约安全注意事项 考虑威胁建模和安全设计

What:从开发生命周期的一开始就实施识别系统的潜在威胁并确定其优先级的具体方案是很重要的 —— 智能合约开发人员应确定要在开发中实施的所有安全控制以及应在开发中检查的所有威胁测试、审计和监控。所有的安全假设,包括攻击的预期复杂程度和手段,都应在设计阶段明确定义和阐明。

分享链接: - BIHU

免责声明:投资有风险,入市须谨慎。本资讯不作为投资建议。

相关推荐