我的工程实践题目是关于智能合约漏洞库的开发,具体开发模式和开发要求导师还未正式下发。据我调查了解,目前国内外关于智能合约的漏洞库平台目前尚处于起步阶段,还没有比较成熟的、可供使用的平台可供人们使用。因此,我主要将关注点放在了国内外安全专家常用的漏洞库平台,并选取其中的三个来完成本次的调研分析工作。
一、智能合约及漏洞库
(一)智能合约
1、区块链
相信区块链大家都不陌生,从狭义上讲,区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构,并以密码学方式保证的不可篡改和不可伪造的分布式账本;从广义上讲,区块链技术是(1)利用块链式数据结构来验证与存储数据、(2)利用分布式节点共识算法来生成和更新数据、(3)利用密码学的方式保证数据传输和访问的安全、(4)利用由自动化脚本代码组成的智能合约来编程和操作数据的 一种全新的分布式基础架构与计算方式。
2、智能合约
智能合约最早是在1995年由Nick Szabo提出的,一个智能合约是一套以数字形式定义的承诺,包括合约参与方可以在上面执行这些承诺的协议。智能合约是一种在满足特定条件时,自动执行的计算机程序。可以避免第三方中间商的服务,帮助您以透明、无冲突的方式交换财产、股份或任何有价值的东西。但是不可避免地,智能合约也会先天或者后天地包含或引入一些漏洞,而这些漏洞可能会对使用者的财产等有价值的东西造成不可挽回的损失。例如:北京时间2016年6月17日,区块链业界最大的众筹项目TheDAO遭到攻击,目前已导致300多万以太币资产被分离出TheDAO 资产池,究其原因就是由于其编写的智能合约存在着重大缺陷。由此可见,建立一个智能合约相关的漏洞库对智能合约以及区块链的发展和完善都有着至关重要的影响。
(二)漏洞库
1、漏洞
漏洞是信息技术、产品、系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷,一旦被恶意主体所利用,就会造成对信息系统的安全损害。
2、漏洞库
漏洞库通过各种渠道在整个互联网范围内,不分国界地收集领域相关的漏洞数据和一些补丁措施等信息,并且将收集到的这些信息及时发布出去,让大家第一时间内了解并且解决自己信息系统存在的问题;另外,漏洞库也可以为提供一些关于宏观态势的基础的分析数据。
二、常用的漏洞库平台
(一)国际
1、全球信息安全漏洞指纹库与文件检测服务
http://cvescan.com
2、美国国家信息安全漏洞库
https://nvd.nist.gov/
3、美国国家工控系统行业漏洞库
https://ics-cert.us-cert.gov/advisories
(二)国内
1、中国国家信息安全漏洞共享平台(由CNCERT维护)
http://www.cnvd.org.cn
2、国家信息安全漏洞库(由中国信息安全评测中心维护)
http://www.cnnvd.org.cn/
3、中国国家工控系统行业漏洞
http://ics.cnvd.org.cn/
此处选取国家信息安全漏洞库、中国国家工控系统行业漏洞和美国国家信息安全漏洞库进行比较分析。
二、调研分析
(一)三个漏洞库平台的简要分析
1、国家信息安全漏洞库
(1)基本信息:
中国国家信息安全漏洞库,英文名称"China National Vulnerability Database of Information Security ",简称"CNNVD",是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。
网址:http://www.cnnvd.org.cn/
(2)界面展示:
2、中国国家工控系统行业漏洞
(1)基本信息:
网址:http://ics.cnvd.org.cn/
(2)界面展示:
3、美国国家信息安全漏洞库
(1)基本信息:
网址:https://nvd.nist.gov/
(2)界面展示:
(二)问题分析
- 这些软件的开发者是怎么说服你(陌⽣⼈)成为他们的⽤户的?他们的⽬标都是盈利么?他们的⽬标都是赚取⽤户的现⾦么?还是别的?
由于这类软件是供专业人士使用的,只要它们做的足够全面、足够权威,就一定能够吸引更多的专业认识作为工具进行使用。
他们的目标不是盈利,也不是为了赚取用户的现金。漏洞库,尤其是国家级别漏洞库的开发是为了让更多的专业人士了解开发过程中可能会遇到的漏洞问题,提前预知危险,防止造成不可挽回的损失。All For Security.
- 这些软件是如何到你⼿⾥的(邮购,下载,互相拷⻉、在线使用……)
目前我所了解到的漏洞库平台都是在线使用的,不收取任何的费用,只要有网络就可以进行访问和查询。
- 这些软件有Bug 么?⼜是如何更新新版本的?
基于B/S架构的网站或软件拥有B/S架构的一切通病,此处不多赘述。可能会出现出现对这些网站的攻击,对漏洞库中信息进行篡改和恶意增删,从而误导大众。
版本更新通过后台重新发布即可以实现。
- 此类软件是什么时候开始出现的,同⼀类型的软件之间是如何竞争的? 发展趋势如何?
中国的国家漏洞库较国际发展要缓一些,已于2009年10月18日投入使用,至今也有十年了。
目前国内此类软件竞争不是很大,主要是由于本软件不属于盈利类软件,且各漏洞库分属领域不同,因此在开发过程中可以暂不考虑竞争的问题。
随着大数据、人工智能、区块链、智能合约等专项领域的日渐火热,可以预见,针对这些领域的漏洞库也会稳步发展起来,因此对于漏洞库的发展前景我还是比较看好的。
- 列举你在使⽤上述软件时观察到的“特殊”现象,它们和硬件有什么不同?这些能说明软件的某些本质特性么?
”特殊“现象:可供不同用户同时使用。
和硬件的不同:软件是程序员对计算机系统编写的程序,是计算机系统的上层。硬件,是复杂的电路系统,是计算机系统的底层。
- 你个⼈第⼀次⽤此类软件是什么时候,你当时是⼏年级,班主任叫什么?在哪⾥,什么状态,当时的软件是如何得到的(买的正版,盗版,下载?)
说来惭愧,我是在2019年了解智能合约这个领域的过程中才了解到漏洞库的相关知识的;而对漏洞库平台的使用也是在自己了解到要做相关工作的时候才去涉猎。希望之后能使用漏洞库更加高效地完成相关工作。
- 你是如何精通这类软件的?它给你什么好处,坏处?
目前来说还谈不上“精通”二字,它给我的好处就是高效便捷地知晓漏洞类型和漏洞危害,让我能够提前避免可能出现的问题。坏处还尚未发现。
- 你现在还⽤它么,或者是同类软件的不同品牌,为何?
现在刚开始使用并且以后也会继续使用,因为现今国家级别漏洞库构建地已经十分完善,可以称得上是一件得心应手的工具。希望我也能通过自己的努力,做出一个让别人也能感觉到有所收益的漏洞库。
- 这种软件再过10年,20年还会存在么,为什么?
会存在。因为漏洞是不可预见的,谁也没有办法说自己的软件里不存在任何一个漏洞,而只要有漏洞存在,漏洞库就一定有它的用武之地。