Brink, l’organisation de développement Bitcoin, a récemment financé le tout premier audit de sécurité indépendant de Bitcoin Core réalisé par un tiers (le rapport complet est disponible ici). L’audit a été réalisé par Quarkslab, une société de sécurité logicielle, avec l’aide de l’Open Source Technology Improvement Fund (OSTIF) et en collaboration avec les développeurs Bitcoin Core Niklas Gögge, de Brink, et Antoine Poinsot, de Chaincode Labs.

Cet audit de sécurité marque une étape importante dans l’histoire du développement de Bitcoin Core, le client de référence le plus largement adopté et le plus largement adopté du réseau et du protocole Bitcoin.

Alors que les politiques et pratiques de sécurité de Bitcoin Core ont été progressivement renforcées et révisées pour être plus approfondies et complètes au cours des dernières années, un audit externe par un tiers spécialisé dans l’examen de la sécurité est une nouvelle barre à respecter. Il a été atteint.

L’audit impliquait une révision manuelle du code, une analyse statique et dynamique avec des outils automatisés et des tests de fuzz avancés, qui prennent les entrées générées automatiquement et les exécutent via différents chemins de code pour tenter de révéler un comportement inattendu ou préjudiciable.

Aucun bogue critique, élevé ou moyen n’a été découvert lors de l’audit. Deux problèmes de faible gravité étaient différents et treize autres problèmes qui ne sont pas classés comme vulnérabilités selon les critères de classification des vulnérabilités de Bitcoin Core.

L’ensemble du processus a également abouti à des améliorations de l’infrastructure de test de Bitcoin Core, notamment une nouvelle infrastructure de test fuzz pour les scénarios de connexion de bloc et de réorganisation de chaîne, un nouveau domaine à couvrir par les tests, des améliorations du système de fichiers accélérant et améliorant les tests fuzz en général, de nouveaux utilitaires pour tester les performances du code rétro-glissant et des suggestions pour améliorer la lisibilité du code pour les réviseurs et les nouveaux développeurs.

Certaines de ces améliorations sont déjà en cours d’élaboration en vue d’un éventuel examen et d’une fusion dans le référentiel Bitcoin Core.

Les résultats de cet audit de sécurité indépendant ont confirmé que les améliorations apportées par Bitcoin Core au cours des dernières années en matière de politique de sécurité, de tests et d’examen de la qualité globale ont eu un impact significatif sur le projet.

Share this content: