国家区块链漏洞库《区块链漏洞定级细则》发布，包括公链等四种系统

PANews 9月27日消息，国家互联网应急中心联合长亭科技、链安科技、安比实验室和慢雾科技四家安全厂商，在CVSS2.0漏洞评分系统基础上，结合大量真实区块链漏洞案例，共同起草的国家区块链漏洞库《区块链漏洞定级细则》正式发布。

在网络安全评测体系中，漏洞分级、分类的标准化研究是评测十分重要的基础环节，建立统一的漏洞定级标准化方案对统一行业认知、提升行业技术安全、建立健全安全测评体系具有重要意义。前期很多区块链企业和团队在发行漏洞悬赏计划时，由于没有可供直接参考的统一标准，往往都会按照各自的理解定义漏洞的威胁等级；而安全厂商也会根据各自对CVSS的理解制定出不同的评定标准。当前区块链生态中各个角色对于安全漏洞的认知并不统一，甚至分歧较大。亟需建立一套针对区块链技术的、被行业普遍认可的定级细则，明确漏洞分析原则，并给出确定且可执行的威胁等级评定参考。

在这一背景下，国家区块链漏洞库联合行业安全企业联合发布《区块链漏洞定级细则》。《细则》整体分为《公链系统漏洞定级细则》、《联盟链系统漏洞定级细则》、《智能合约漏洞定级细则》、《外围系统漏洞定级细则》，主要依据“危害程度”和“利用难度”等方面分析，将漏洞分为高、中、低三个威胁等级，且每种危害和难度的描述中都罗列了非常详细的参考条目，基本涵盖了区块链领域可能遇到的大部分漏洞情况，可以帮助使用者快速定位和分析漏洞。同时依托 CVSS2.0，力争实现与传统基础领域漏洞规则的互通，从大网络安全的角度打通区块链新兴领域与传统领域对于漏洞的认知和定义。

目前《区块链漏洞定级细则》仅为初始版本，后面将根据区块链安全的实际情况进行不断迭代修改。

1、《公链系统漏洞定级细则》v1.0

3、《智能合约漏洞定级细则》v1.0

4、《外围系统漏洞定级细则》v1.0