以太坊安全指南：面向所有人

我们从ETH柏林大会获得两个主要印象：首先，许多开发者渴望获得任何形式的安全指导；其次，太少的安全公司能够提供可及的服务。

当我们2016年开始承接区块链安全项目时，还没有专门为此设计的工具。有用的文档难以找到，且隐藏在大量不良建议中。

我们正在通过以下方式改变这一现状：提供定期办公时间、分享我们在互联网上汇总的最佳以太坊安全参考资料，以及维护漏洞报告联系人信息列表。

我们希望支持社区开发更安全的智能合约和去中心化应用。

以太坊安全办公时间

每隔一周，我们的工程师将主持一小时的视频聊天，免费回答所有参与者的以太坊安全问题。我们将指导参与者使用我们的以太坊安全工具套件，并参考人们需要了解的基本知识和资源。

办公时间为东部标准时间（GMT-5）每月第一和第三个星期二的中午。订阅我们的以太坊安全活动日历以获取新会话通知。我们还会在Twitter和Empire Hacking Slack上提前一天发布报名表，以帮助征集要讨论的主题。

有点讽刺的是，大多数安全研究人员都难以报告漏洞。有时，报告过程本身给报告者带来了不必要的负担。界面可能不支持报告者的语言。或者，正如Project Zero的Natalie Silvanovich最近分享的，这可能归结为法律问题：

“当软件供应商启动[漏洞赏金计划]时，他们通常会移除现有的漏洞报告机制……”以及“……没有为那些不同意或不想参与[奖励]计划的原因的漏洞报告者提供替代方案。”

我们经常发现智能合约、去中心化应用和区块链软件客户端中先前未知的缺陷。在许多情况下，很难或不可能追踪到负责人的联系信息。当这种情况发生时，我们不得不让漏洞未被报告，只能希望没有恶意者发现它。

这并不理想，因此我们决定采取行动。我们正在众包一个区块链公司安全联系人目录。这个目录“区块链安全联系人”确定了联系组织安全团队的最佳方式，以便您可以直接向能够解决问题的人报告漏洞。

如果您在区块链公司的安全团队工作，请将自己添加到目录中！

目录只是第一步。即使有最好的意图，许多公司在没有充分考虑法律和运营影响的情况下匆忙推出漏洞赏金计划。他们需要指导以最有效地与安全研究人员合作。

至少，我们建议：

在我们从事区块链安全工作的过程中，我们整理了互联网上最好的社区维护和开源的以太坊安全参考资料。这些是我们最依赖的参考资料。它们是每个开发去中心化应用的团队都需要了解的最常见资源，包括：

这是一个我们希望随着社区发展而增长的社区资源。我们承诺保持其最新状态。

综上所述，如果您需要帮助保护您的区块链软件，请联系我们。