安全＃3：安全团队|以太坊基金会博客

在过去的一年中，以太坊基金会大大发展了其专门的安全研究人员和工程师团队。成员已经从各种背景中加入，包括密码学，安全架构，风险管理，开发发展以及在红色和蓝色团队中工作。成员来自不同的领域，并致力于确保从我们每天依赖的互联网服务到国家医疗保健系统和中央银行的所有事物。

随着合并的接近，团队的大量精力用于分析，审计和研究各种方式以及合并本身的共识层。下面找到了工作的样本。

客户实施审核🛡️

团队成员使用各种工具和技术审核各种客户实现。

自动扫描🤖

对代码库的自动扫描旨在捕获低悬挂的果实，例如依赖性漏洞（以及潜在的漏洞）或代码的改进领域。用于静态分析的一些工具是CodeQL，Semgrep，ErrorProne和nosy。

由于客户端之间使用了许多不同的语言，因此我们对代码库和图像都使用通用和语言的扫描仪。这些是通过一个系统互连的，该系统将所有工具的新发现分析和报告为相关渠道。这些自动扫描使得有可能快速获取有关对手可能很容易发现的问题的报告，从而增加了解决问题的机会，然后才能利用问题。

手动审核🔨

对堆栈组件的手动审核也是一项重要技术。这些努力包括审核批判性共享依赖项（BLS），LIBP2P，硬叉中的新功能（例如，Altair的同步委员会），对特定客户实施的彻底审核，或审核L2S和桥梁。

此外，当通过以太坊漏洞赏金计划，研究人员可以对所有客户进行跨核对问题，以查看他们是否也受到报告的问题的影响。

第三方审核🧑‍🔧

有时，第三方公司参与审核各种组件。第三方审核用于使外部眼睛对新客户，更新的协议规范，即将到来的网络升级或其他被认为是高价值的东西。

在第三方审核期间，软件开发人员和我们团队的安全研究人员与审计师合作，在整个过程中进行教育和协助。

模糊🦾

我们的安全研究人员，客户团队以及生态系统的贡献者正在进行许多持续的模糊工作。大多数工具是开源的，并且在专用的基础架构上运行。模糊器针对关键攻击表面，例如RPC处理程序，州过渡和叉子选择实施等。其他努力包括基于CI的NOSY邻居（基于AST的自动Fuzz Harness Exeneration），该邻居基于CI并建立在GO Parser库中。

网络级别的仿真和测试🕸️

我们团队的安全研究人员构建和利用工具来模拟，测试和攻击受控的网络环境。这些工具可以快速旋转在各种配置下运行的本地和外部测试网（“攻击网”），以测试必须对客户对抗的奇异场景（例如DDOS，PEER隔离，网络退化）。

攻击网络提供了一个高效且安全的环境，可以快速测试私人环境中的不同想法/攻击。私人攻击网无法受到潜在对手的监控，并允许我们破坏事物而不会破坏公共测试网的用户体验。在这些环境中，我们定期利用诸如暂停线程和网络分区之类的破坏性技术来进一步扩展场景。

客户和不屈服多样性研究🔬

客户和基础设施多样性受到社区的关注。我们有适当的工具来监视客户，OS，ISP和爬网统计的多样性。此外，我们分析网络参与率，证明时间异常和一般网络健康。此信息是共享穿过多种的地点以突出任何潜在的风险。

错误赏金计划🐛

EF目前主持两个错误赏金程序；一个针对的执行层还有另一个针对的共识层。安全团队的成员监控传入报告，努力验证其准确性和影响，然后对其他客户进行任何问题。最近，我们发布了所有人的披露先前报道的漏洞。

很快，这两个程序将合并为一个，将改进一般平台，并将为赏金猎人提供额外的奖励。请继续关注此信息，以获取更多信息！

操作安全🔒

运营安全涵盖了EF的许多努力。例如，已经设置了资产监控，该资产监视不断监视基础架构和域已知漏洞。

以太坊网络监控🩺

正在开发一种新的以太坊网络监控系统。该系统类似于西姆并旨在聆听和监视以太坊网络的预配置检测规则以及扫描异常值事件的动态异常检测。一旦到位，该系统将提供有关正在进行或即将发生的网络中断的早期警告。

威胁分析🩻

我们的团队进行了威胁分析的重点，以确定可以在安全性方面改善的领域。在这项工作中，我们收集并审核了用于代码审查，基础架构安全性，开发人员安全性，构建安全性（DAST，SCA和SAST内置在CI等中等），存储库安全性等的安全惯例，以及客户团队。此外，该分析调查了如何防止灾难可能造成的错误信息以及社区如何在各种情景中恢复。与灾难恢复练习有关的一些努力也令人感兴趣。