本稿について
ÆTERNITYのメインネットリリース前から行われているセキュリティ監査報告のv0.5について見ていきます。今回の範囲は「3. Project」です。
原文はこちらになります。
スポンサードサーチ
今回のまとめ
- 本レビューのフェーズは次の3つからなる(細かなトピックや成果物は本文表1を参照)。
- プロトコルのコンセプトレビュー
- ノード実装レビュー
- ウォレット実装レビュー
- アセスメントに用いる情報はプロジェクトの資料、ソースコード、プロジェクトスタッフへのインタビューから収集した。
- プロジェクトスタッフについてはÆTERNITYの8名(表2参照)。
- プロジェクト資料とソースコードはGithub上のリポジトリから入手(表3参照)。また、外部の標準ライブラリやフレームワークも含む(全てオープンソースであるためレビュー可能)。
※以下、今回まとめた範囲の和訳になりますので詳細をご覧になりたい方は読み進めてください。
3. プロジェクト
3.1 プロジェクトのステップとスコープ
まずはじめに、レビューのスコープはÆTERNITYとcnlabにより定義された。プロジェクトが巨大であり時間も限られているため、最初のレビューで冒頭のスコープ定義の全ての側面をカバーすることはできなかった。プロジェクトの間にÆTERNITYとcnlabはスコープにおける優先順位について検討し、調整を行った。
セキュリティレビューは概念と技術的な実装の双方にわたることから、もともとは3つのフェーズにグルーピングされた。
上記一覧の側面の内、現在カバーしているものについては以降の章にて示す。現時点でカバーできていない領域については本レポートの今後のバージョンか将来のレビューでカバーするだろう。
3.2 情報ソース
アセスメントに用いる情報はプロジェクトの資料、ソースコード、プロジェクトスタッフへのインタビューから収集した。
次に示すのは本プロジェクトの関係者である。
ÆTERNITYのリファレンス実装に関するプロジェクトの資料とソースコードはGithub上でホストされるÆTERNITYのGitリポジトリから入手した。
これらのコンポーネントの一部はÆTERNITYが管理する別のリポジトリに依存するものであることを付記しておく(例.ErlangのNoiseプロトコルの実装である"enoise"など)。また、本プロジェクトは外部の標準ライブラリやフレームワークに依存している(例.Erlangランタイム、Nac/libsodium、Cuckoo PoWの実装など)。
利用されているすべてのコンポーネントはオープンソースであり、パブリックレビューに利用できる。
(ÆTERNITYのセキュリティ監査報告を読んでみる2 ←← 前)|(次 →→ ÆTERNITYのセキュリティ監査報告を読んでみる4)
免責
邦訳には誤りがある場合がございます。予めご承知おき下さい。
確実な情報を知るためには冒頭に示した原文をご参照くださいますようお願いいたします。