Quarkslab、ビットコインコアの初の公開第三者監査を完了:重大な脆弱性は見つかりませんでした

ネットワークセキュリティ会社Quarkslabは、ビットコインコアコードベースの初の公開第三者セキュリティ監査を完了しました。ビットコインコアコードベースは、ビットコインネットワークを支えるオープンソースのリファレンス実装であり、フルノードクライアント、グラフィカルユーザーインターフェース (GUI) および埋め込みウォレットが含まれています。

水曜日に発表された公告によると、この4ヶ月間の評価は、オープンソースのビットコインプロトコルの開発を支援する非営利団体Brinkが資金提供し、オープンソース技術改善基金(OSTIF)が調整しています。評価は、ピアツーピアネットワーク層（ネットワークの主要な攻撃面）および関連コンポーネント、メモリプール管理、チェーン状態、トランザクション検証、およびコンセンサスロジックに焦点を当てています。

この監査は9月に完了し、3人のQuarkslabエンジニアが100営業日を費やして実施し、Brinkおよびビットコイン開発会社Chaincode Labsの技術サポートを受けました。コードレビューが始まる前に、2人の監査人がBrinkのエンジニアと対面で交流し、ビットコインコアのアーキテクチャと開発実践に慣れました。

このプロセスは、人工コード分析、動的テスト、およびビットコインの既存の継続的インテグレーションワークフローから借用した高度なファジング技術を組み合わせています。ファジングは、自動化されたソフトウェアテスト技術であり、コードに大量の予期しない、ランダムな、またはフォーマットエラーのデータを入力することによって脆弱性を見つけ出そうとします。

Brinkは別の記事で、この措置の目的はBitcoin Coreを認証することではなく、「脆弱性を積極的に探し、テスト手法を改善し、コードベースを強化するための実用的な方法を見つけること」であると指摘しました。

Quarkslabの報告によると、重大な、高リスク、または中程度の深刻な問題は発見されませんでした。監査人は確かに2つの低リスクの問題を発見し、13の情報提供の提案を行いましたが、これらの問題はビットコインコアのセキュリティ脆弱性分類基準には該当しません。

Quarkslabは次のように述べています：「重大な影響の問題は発見されていないが、既存のファジーテストフレームワークおよびチェーン再構成などの未テストシナリオ用の新しいフレームワークは改善されています。」OSTIFは次のように補足しています：「今回の監査では重大、高リスク、中程度のセキュリティ影響の問題は発見されていませんが、Bitcoinに貴重なフィードバック、洞察、情報、テスト改善の提案を提供しました。」（The Block）