以太坊安全指南：面向所有人

我们从ETH柏林大会获得两个深刻印象：首先，许多开发者迫切需要安全指导；其次，可供接触的安全公司太少。

自2016年开始承接区块链安全业务以来，当时缺乏专门为此设计的工具。有用的文档难以找到，且被大量不良建议所淹没。

我们正在通过以下方式改变这一现状：提供定期办公时间、分享我们汇总的互联网最佳以太坊安全参考资料，以及维护漏洞报告联系人列表。我们希望支持社区开发更安全的智能合约和去中心化应用。

以太坊安全办公时间

每隔一周，我们的工程师将主持一小时的视频聊天，免费回答所有参与者提出的以太坊安全问题。我们将指导参与者使用我们的以太坊安全工具套件，并引用人们需要了解的核心知识和资源。

办公时间为东部标准时间（GMT-5）每月第一和第三个星期二中午12点。订阅我们的以太坊安全活动日历以获取新会话通知。我们还会在前一天通过Twitter和Empire Hacking Slack发布报名表，以征集讨论主题。

有点讽刺的是，大多数安全研究人员都难以报告漏洞。有时，报告流程本身给报告者带来不必要的负担。界面可能不支持报告者的语言。或者，正如Project Zero的Natalie Silvanovich最近分享的，这可能归结为法律问题：

“当软件供应商启动[漏洞赏金计划]时，他们通常会移除现有的漏洞报告机制……"，并且”……没有为那些不同意或不想参与[奖励]计划的原因的漏洞报告者提供替代方案。"

我们经常发现智能合约、去中心化应用和区块链软件客户端中先前未知的缺陷。在许多情况下，很难或无法找到负责人的联系信息。当这种情况发生时，我们只能不报告漏洞，并希望没有恶意人员发现它。

这并不理想，因此我们决定采取行动。我们正在众包一个区块链公司安全联系人目录。这个名为"区块链安全联系人"的目录确定了联系组织安全团队的最佳方式，以便您可以直接向能够解决问题的人报告漏洞。

如果您在区块链公司的安全团队工作，请将自己添加到目录中！

目录只是第一步。即使有最好的意图，许多公司在没有充分考虑法律和运营影响的情况下匆忙启动漏洞赏金计划。他们需要指导以最有效地与安全研究人员互动。

至少，我们建议：

在我们的区块链安全工作中，我们整理了互联网上最好的社区维护和开源的以太坊安全参考资料。这些是我们最依赖的参考资料。它们是每个开发去中心化应用的团队都需要了解的最常见资源，包括：

这是一个我们希望随着社区发展而成长的社区资源。我们承诺保持其最新状态。

综上所述，如果您需要保护区块链软件的帮助，请联系我们。