如何做好区块链的智能合约自动化安全审计系统,你必需面对的需求
针对区块链行业的智能合约安全审计,是安全行业之中的蓝海。目前,有许多大公司,小公司都在研发出这方面的系统,通过市场上的系统试用以及分析,我们认为市场上已有的系统,多少有不足或偏差。要做好智能合约的自动化安全审计,你必需面对的需求:
首选,面对是最基本的的需求,应是以下四点:
- 其一:自动化,要求对智能合约的安全审计,要全自动或至少半自动的,即上传合约源代码或提供智能合约的token地址,即可由系统,自动化进行合约的安全扫描。并能按需要配置为 周期调度(如每月,半年)自动进行调度审计。
- 其二:高效率,要求对智能合约的安全审计,要求审计的时间不能太长,当然越快越好。
- 其三:准确性,要求对智能合约的安全审计,误报率低。
- 其四:无风险,要求对智能合约的安全审计,不会破坏或修改原有的合约的功能。
做到以上4点,才是一个基本合格的智能合约自动化审计系统。
其次,要具备更出彩的,还需要满足下面的需求:
- 其一:系统的使用操作体验要好。简单举例:
1 可以采用向导式,引导用户熟悉系统的功能操作。
2 具备用户自定义合约的行业分类以及所属厂商分类等。
3 审计出来的安全问题,能定位到行列,并能至少提供此这安全问题的修正的安全,当然有自动化修正更好,
具备自动化修正功能,相应提供保留原内容的版本,以便可进行回退和比较。 - 其二:系统具有智能合约的当前标准规范管理。这样使用者可以在系统上传,下载标准规范进行参考。当然审计出来的安全问题,能与标准规范对应,并定位到标准规范最好,不过,当对智能合约安全审计的标准规范不细或缺乏,做到这一点太难了:(。
- 其三:对安全审计的结果的的报告展现丰富,能导出PDF,EXCEL,WORD,HTML 格式是必需的,报告的展现应有图表,表格元素的体现,当然,要做好这点,需要你对系统的使用方(用户)有更多的了解,针对用户做些定制他们关注的报告就更好出彩了;报告出彩的功能还可以是报告中有审计历史对比趋势分析等。
- 其四:易扩展。当前,区块链的平台技术以及安全专家针对区块链智能合约发现的安全问题的check list是不断演进的,系统应很好的解决这方面的需求,就需要系统有一个很好的易扩展的设计要求。
