Brink, die Bitcoin-Entwicklungsorganisation, kürzlich finanzierte das erste unabhängige Sicherheitsaudit überhaupt von Bitcoin Core durch einen Dritten durchgeführt (der vollständige Bericht ist verfügbar). Hier). Die Prüfung wurde von Quarkslab, einem Software-Sicherheitsunternehmen, mit Hilfe des Open Source Technology Improvement Fund (OSTIF) und in Zusammenarbeit mit den Bitcoin Core-Entwicklern Niklas Gögge von Brink und Antoine Poinsot von Chaincode Labs durchgeführt.
Diese Sicherheitsüberprüfung markiert einen Meilenstein in der Entwicklungsgeschichte von Bitcoin Core, dem am weitesten verbreiteten und Referenz-Client des Bitcoin-Netzwerks und -Protokolls.
Während Bitcoin-Kern Sicherheitsrichtlinien und -praktiken wurden in den letzten Jahren stetig verschärft und überarbeitet, um gründlicher und umfassender zu sein. Eine externe Prüfung durch einen auf Sicherheitsüberprüfungen spezialisierten Dritten ist eine neue Messlatte, die es zu erfüllen gilt. Es wurde erfüllt.
Die Prüfung umfasste manuelle Codeüberprüfung, statische und dynamische Analyse mit automatisierten Tools sowie erweiterte Fuzz-Tests, bei denen automatisch generierte Eingaben durch verschiedene Codepfade geleitet werden, um unerwartetes oder schädliches Verhalten aufzudecken.
Bei der Prüfung wurden keine kritischen, hohen oder mittelschweren Fehler entdeckt. Zwei Probleme mit geringer Schwere waren unterschiedlich und dreizehn weitere Probleme wurden im Rahmen von Bitcoin Core nicht als Schwachstellen eingestuft Klassifizierungskriterien für Schwachstellen.
Der gesamte Prozess führte auch zu Verbesserungen in der Testinfrastruktur von Bitcoin Core, einschließlich einer neuen Fuzz-Testinfrastruktur für Blockverbindungs- und Kettenreorganisationsszenarien, einem neuen Testbereich, Dateisystemverbesserungen zur Beschleunigung und Verbesserung von Fuzz-Tests im Allgemeinen, neuen Dienstprogrammen zum Testen der Back-Slide-Code-Leistung und Vorschlägen zur Verbesserung der Codelesbarkeit für Prüfer und neue Entwickler.
An einigen dieser Verbesserungen wird bereits gearbeitet, um sie eventuell zu überprüfen und in das Bitcoin Core-Repository einzubinden.
Die Ergebnisse dieses unabhängigen Sicherheitsaudits haben bestätigt, dass die Verbesserungen von Bitcoin Core in den letzten Jahren in den Bereichen Sicherheitsrichtlinien, Tests und allgemeine Qualitätsprüfung einen bedeutenden Einfluss auf das Projekt hatten.
