审计 - OpenZeppelin 文档

本文档介绍了 OpenZeppelin Defender 的 Audit 模块,该模块旨在帮助团队进行智能合约安全审计,保持可搜索的审计和问题存储库,简化审计员与开发人员之间的交互,自动化修复审查过程,并跟踪问题的完整生命周期。主要功能包括审计报告同步、问题跟踪、状态管理以及修复验证。

审计

审计允许你召唤我们的安全专家团队,以最高级别的审查来验证你的系统是否按预期工作。你可以跟踪问题和解决方案,并与审计员直接互动,以实现更快、更高效的沟通。

使用场景

  • 维护一个可搜索的智能合约审计和问题存储库。

  • 简化审计员和开发人员之间的互动。

  • 自动化所有已识别问题的修复-审查流程。

  • 跟踪审计中识别的所有问题直至完成。

审计员和报告

审计员在 Defender 中具有特殊角色。审计管理员能够从 GitHub 同步审计报告到 Defender 并添加审计员,审计员能够读取和跟踪问题。审计管理员还可以确定你的团队中哪些成员有权读取或评论审计。

一旦审计管理员同步并将审计报告发送到 Defender,任何被分配了审计读取或审计评论角色的团队成员都可以看到它。所有活跃和历史的审计报告都将可见,团队成员可以点击任何审计报告以查看详细信息。

审计状态标题

审计页面最初包括项目的名称、状态和报告日期。在此之下,你可以找到审计的执行摘要,其中提供了审计发现的概述以及智能合约或项目的整体安全态势。它还包括有关范围、时间表和审计员的链接和信息。

在执行摘要下方,你可以找到审计的不同部分。

概述

“概述”部分提供关于被审计项目或智能合约的背景信息和上下文。本节通常以对项目的简要介绍开始,包括项目的名称、目的以及对其旨在实现的目标的总体描述。紧随其后的是对项目架构和关键组件的概述,并辅以智能合约或区块链应用程序如何构建以及不同模块或组件如何相互作用的高级描述。可能包括有关项目中使用的技术堆栈的信息。这可以涵盖开发中使用的编程语言、库、框架和区块链平台。

根据审计的不同,本节可能还包含有关智能合约的特权角色的其他信息,以解释其在项目中的目的和职责。这有助于审计员和读者了解谁控制着关键功能以及他们可以执行哪些操作。同样,通常会提到信任假设,以概述项目开发人员对项目所依赖的外部组件、服务或实体的安全性和可靠性所做的隐含或显式假设。最后,“概述”部分可能包括客户发现的漏洞(如果客户提供)。这些是项目用户或客户在审计之前就已经识别出的漏洞或问题,有助于审计员了解与项目相关的安全问题的背景和历史。

问题

“问题”部分提供了对审计过程中发现的安全漏洞、错误或问题的深入检查。在本节中,你可以按内容、严重性或状态过滤问题。按内容过滤允许你查找具有特定标题或描述的问题。按严重性过滤允许你查找具有特定严重性级别的问题,如严重、高、中、低、注意或客户报告。按状态过滤允许你查找具有特定状态的问题,如未解决、无响应、已响应、已解决、部分解决、已确认未解决或已确认将解决。

审计问题过滤器

本节中的每个问题都包含标题、描述、日期和状态。你可以点击一个来展开信息并能够对其进行回复。

审计侧页

描述解释了问题的性质、其潜在影响以及理解该问题所需的任何技术细节。该问题还标有严重性评估,有助于描述问题的影响、可能性和难度,以进行优先级排序和透明化。

建议

“建议”部分根据审计结果提供可操作的指导,以提高项目的安全性。本节通常由缓解策略、监控建议、事件响应计划、潜在陷阱以及其他技术和非技术建议组成。

本节中包含的监控和事件响应建议对于确保你的区块链项目或智能合约的持续安全性和弹性至关重要。这些建议侧重于主动措施,以有效检测和响应安全事件、漏洞或异常。“建议”部分的信息将提供有关如何将这些建议应用于 Defender 监控器动作工作流的详细信息。我们建议你按照本文档中找到的教程学习如何使用 Defender 模块,例如 监控器动作工作流 教程。

建议通常包括:

  • 事件监控:事件监控,用于跟踪和分析你的智能合约发出的事件。这对于识别可能表明安全问题的异常或意外行为至关重要。

  • 自定义警报: 基于特定条件或事件的自定义警报。这与设置警报机制的事件响应建议相一致。

  • 自动响应: 对特定事件或条件的自动响应,从而实现快速的事件缓解。与 动作工作流 结合使用。

  • 阈值监控: 监控与既定阈值的异常偏差是一种常见的事件响应实践。Defender 可以协助使用 监控器 设置基于阈值的监控,并使用自动 工作流 做出反应。

  • 部署注意事项: 尽可能降低风险,同时避免不必要的延迟和后部署,方法是使用 Defender 部署。采用自动分析以避免存储冲突或其他问题,并受益于诸如跨链确定性部署、字节码验证等功能。

结论

“结论”部分总结了审计的发现,并提供了对项目安全态势的总体评估。本节以对审计的关键发现的简明总结开始,包括对评估过程中发现的关键安全漏洞、问题或问题的回顾,以及分配给每个已识别安全级别的漏洞,帮助干系人了解哪些问题造成的风险最高。根据发现的问题,“结论”部分可能还会重申解决问题的高优先级建议,强调增强安全性所需的立即措施。

本节还将传达与项目当前安全状态相关的风险,以帮助项目所有者、投资者和用户做出明智的决策。可能会提供额外的有价值的见解,以支持干系人的某些决策,例如部署、进一步开发和改进。如果提供了建议,这些建议将在本节中重申为高级概述。

修复-审查流程

在交付审计报告后,报告中的各个问题都可以回复和评论,直到审计管理员最终确定每个问题。审计员和被分配了审计评论角色的团队成员可以回复和评论。团队成员可以向审计员提问或提供信息。

为了启动对问题的回复,请点击审计页面“问题”部分中的问题,然后点击“回复此问题”。

审计问题回复

团队成员可以为审计员留下评论。具体来说,团队成员可以提供指向其 GitHub 存储库中的拉取请求(PR)或提交的链接,这些链接代表与特定问题相关的修复。可以添加多个链接。

审计问题回复

Defender 将保留并显示每个问题上审计员和团队成员之间的所有通信记录.

审计线索

根据修复和审查的结果,审计员可能会将问题的状态更新为部分解决或已解决。一旦所有问题的修复-审查流程完成,审计管理员将最终确定审计,之后可以看到完整的活动记录,但不允许再进行任何回复或评论。在审计结束时,审计管理员还可以提供审计的 PDF 报告,包括修复-审查流程。

有关审计过程的任何问题,请与你指定的审计管理员联系。你可以通过 其反馈表 提供 Defender 反馈 - 你的评论和建议将有助于我们塑造审计模块的未来!

← 代码检查器

部署 →

  • 原文链接: docs.openzeppelin.com/de...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
OpenZeppelin
OpenZeppelin
江湖只有他的大名,没有他的介绍。