在網(wǎng)絡(luò)安全評(píng)測(cè)體系中，統(tǒng)一的漏洞定級(jí)標(biāo)準(zhǔn)化方案對(duì)于統(tǒng)一行業(yè)認(rèn)知、提升行業(yè)技術(shù)安全、建立健全安全測(cè)評(píng)體系十分重要。在此之前，由于缺乏統(tǒng)一標(biāo)準(zhǔn)，許多區(qū)塊鏈企業(yè)和團(tuán)隊(duì)在發(fā)行漏洞懸賞計(jì)劃時(shí)往往按照各自的理解定義漏洞的威脅等級(jí)，安全廠商也會(huì)根據(jù)各自對(duì)CVSS的理解制定出不同的評(píng)定標(biāo)準(zhǔn)。目前，對(duì)于安全漏洞的認(rèn)知在區(qū)塊鏈生態(tài)中各個(gè)角色之間并不統(tǒng)一，甚至存在較大的分歧。因此，亟需建立一套針對(duì)區(qū)塊鏈技術(shù)的、被行業(yè)普遍認(rèn)可的定級(jí)細(xì)則，明確漏洞分析原則，并給出確定且可執(zhí)行的威脅等級(jí)評(píng)定參考。

《細(xì)則》包括《公鏈系統(tǒng)漏洞定級(jí)細(xì)則》、《聯(lián)盟鏈系統(tǒng)漏洞定級(jí)細(xì)則》、《智能合約漏洞定級(jí)細(xì)則》和《外圍系統(tǒng)漏洞定級(jí)細(xì)則》四部分。它主要通過(guò)分析“危害程度”和“利用難度”等方面，將漏洞分為高、中、低三個(gè)威脅等級(jí)。每種危害和難度的描述都具備非常詳細(xì)的參考條目，基本上涵蓋了區(qū)塊鏈領(lǐng)域可能遇到的大部分漏洞情況。這些細(xì)則可以幫助使用者快速定位和分析漏洞。同時(shí)，借助CVSS2.0，力爭(zhēng)實(shí)現(xiàn)與傳統(tǒng)基礎(chǔ)領(lǐng)域漏洞規(guī)則的互通，打通區(qū)塊鏈新興領(lǐng)域與傳統(tǒng)領(lǐng)域?qū)τ诼┒吹恼J(rèn)知和定義。

來(lái)源：國(guó)家區(qū)塊鏈漏洞庫(kù)

熱點(diǎn)：區(qū)塊鏈