审计

审计允许您召集我们的安全专家团队,以最高的审查级别来验证您的系统是否按预期工作。您可以跟踪问题和解决方案,并与审计员直接互动,以实现更快,更有效的沟通。

用例

  • 维护所有智能合约审计和问题的可搜索存储库。

  • 简化审计员和开发人员之间的互动。

  • 自动化所有已识别问题的修复审查过程。

  • 跟踪审计中识别出的所有问题,直到完成。

审计员和报告

审计员在 Defender 中扮演着特殊的角色。审计管理员能够从 GitHub 将审计报告同步到 Defender,并添加审计员,这些审计员能够读取和跟踪问题。审计管理员还可以确定您的团队的哪些成员有权读取或评论审计。

一旦审计管理员同步审计报告并将其发送到 Defender,任何被分配了审计读取或审计评论角色的团队成员都将可以看到它。所有活动和历史审计报告都将可见,团队成员可以单击任何审计报告以查看详细信息。

审计状态标题

审计页面最初包括项目的名称、状态和报告日期。在此之下,您可以找到审计的执行摘要,其中提供了审计发现的概述以及智能合约或项目的整体安全态势。它还包括有关范围、时间表和审计员的链接和信息。

在执行摘要下方,您可以找到审计的不同部分。

概述

“概述”部分提供了关于被审计项目或智能合约的背景信息。本节通常以对项目的简要介绍开始,包括项目的名称、目的以及对其旨在实现的目标的一般描述。接下来是对项目架构和关键组件的概述,并辅以智能合约或区块链应用程序的结构以及不同模块或组件如何相互作用的高级描述。可以使用项目中使用的技术堆栈的信息。这可以包括开发中使用的编程语言、库、框架和区块链平台。

根据审计的不同,本节可能还包含有关智能合约特权角色的其他信息,以解释其在项目中的目的和职责。这有助于审计员和读者了解谁可以控制关键功能以及他们可以执行哪些操作。类似地,通常会提到信任假设,以概述项目开发人员对项目依赖的外部组件、服务或实体的安全性和可靠性所做的隐式或显式假设。最后,“概述”部分可能包括客户端发现的漏洞(如果客户端提供)。这些是由项目的用户或客户端在审计之前识别出的漏洞或问题,有助于审计员了解与项目相关的安全问题的背景和历史。

问题

“问题”部分提供了对审计过程中发现的安全漏洞、错误或问题的深入检查。在本节中,您可以按内容、严重性或状态过滤问题。按内容过滤允许您查找具有特定标题或描述的问题。按严重性过滤允许您查找具有特定严重性级别的问题,例如严重、高、中、低、“注意”或“客户端报告”。按状态过滤允许您查找具有特定状态的问题,例如未解决、未响应、已响应、已解决、部分解决、已确认未解决或已确认将解决。

审计问题过滤器

本节中的每个问题都包含标题、描述、日期和状态。您可以单击一个问题来展开信息并能够对其进行回复。

审计边页

描述解释了问题的性质、潜在影响以及理解问题所需的任何技术细节。该问题还标有严重性评估,有助于描述问题的影响、可能性和难度,以便进行优先级排序和提高透明度。

建议

“建议”部分基于审计结果提供可操作的指导,以提高项目的安全态势。本节通常由缓解策略、监控建议、事件响应计划、潜在陷阱和其他技术和非技术建议组成。

本节中包含的监控和事件响应建议对于确保您的区块链项目或智能合约的持续安全性和弹性至关重要。这些建议侧重于主动措施,以有效检测和响应安全事件、漏洞或异常。提供的信息将详细说明如何使用 Defender 监视器操作工作流 应用这些建议。我们建议您按照本文档中的教程学习如何使用 Defender 模块,例如 监视器操作工作流 教程。

建议通常包括:

  • 事件监控:事件监控,用于跟踪和分析您的智能合约发出的事件。这对于识别可能表明安全问题的异常或意外行为至关重要。

  • 自定义警报:基于特定条件或事件的自定义警报。这与事件响应建议相符,即要有警报机制。

  • 自动响应:对特定事件或条件的自动响应,从而实现快速事件缓解。与 操作工作流 结合使用。

  • 阈值监控:监控与已建立阈值的异常偏差是一种常见的事件响应实践。Defender 可以帮助使用 监视器 设置基于阈值的监控,并使用自动 工作流 做出反应。

  • 部署注意事项:在最大程度地降低风险的同时,避免不必要的延迟并使用 Defender 部署 进行部署后部署。采用自动分析以避免存储冲突或其他问题,并受益于跨链确定性部署、字节码验证等功能。

结论

“结论”部分总结审计的发现,并提供对项目安全态势的总体评估。本节首先简明扼要地总结审计的关键发现,包括在评估期间发现的关键安全漏洞、问题或疑虑的概括,以及分配给每个已识别问题的安全级别,从而帮助利益相关者了解哪些问题构成了最高的风险。根据发现的问题,“结论”部分可能还会重申解决问题的高优先级建议,从而强调增强安全性所需的立即行动。

本节还将传达与项目当前安全状态相关的风险,以帮助项目所有者、投资者和用户做出明智的决策。可以提供其他有价值的见解,以支持利益相关者的某些决策,例如部署、进一步开发和改进。如果提供了建议,这些建议将在本节中以高级概述的形式重申。

修复审查流程

交付审计报告后,报告中的各个问题都可以进行回复和评论,直到审计管理员最终确定每个问题。被分配了审计评论角色的审计员和团队成员可以回复和评论。团队成员可以向审计员提问或提供信息。

为了启动对问题的回复,请单击审计页面“问题”部分中的问题,然后单击“回复此问题”。

审计问题回复

团队成员可以为审计员留下评论。具体来说,团队成员可以提供指向其 GitHub 存储库中拉取请求 (PR) 或提交的链接,这些链接代表与特定问题相关的修复。可以添加多个链接。

审计问题回复

Defender 将保留并显示审计员和团队成员之间关于每个问题的所有通信记录。

审计跟踪

根据修复和审查的结果,审计员可能会将问题的状态更新为“部分解决”或“已解决”。一旦所有问题的修复审查过程完成,审计管理员将最终确定审计,之后可以看到完整的活动轨迹,但不再允许回复或评论。在审计结束时,审计管理员还可以提供审计的 PDF 报告,包括修复审查过程。

如果您对审计过程有任何疑问,请与您指定的审计管理员联系。您可以通过 其反馈表提供 Defender 反馈 — 您的意见和建议将有助于我们塑造审计模块的未来!

← 代码检查器
部署 →