結合工程實踐選題調研分析同類軟件產品

　　個人工程實踐題目是關於智能合約漏洞庫的開發，具體開發模式和開發要求導師還未正式下發。據我調查瞭解，目前國內外關於智能合約的漏洞庫平臺目前尚處於起步階段，尚未比較成熟的、可供使用的平臺可供人們使用。所以，我主要將關注點放在了國內外安全專家經常使用的漏洞庫平臺，並選取其中的三個來完成本次的調研分析工做。　

1、智能合約及漏洞庫

（一）智能合約

　　一、區塊鏈

　　相信區塊鏈你們都不陌生，從狹義上講，區塊鏈是一種按照時間順序將數據區塊以順序相連的方式組合成的一種鏈式數據結構，並以密碼學方式保證的不可篡改和不可僞造的分佈式帳本；從廣義上講，區塊鏈技術是（1）利用塊鏈式數據結構來驗證與存儲數據、（2）利用分佈式節點共識算法來生成和更新數據、（3）利用密碼學的方式保證數據傳輸和訪問的安全、（4）利用由自動化腳本代碼組成的智能合約來編程和操做數據的 一種全新的分佈式基礎架構與計算方式。

　　二、智能合約

　　智能合約最先是在1995年由Nick Szabo提出的，一個智能合約是一套以數字形式定義的承諾，包括合約參與方能夠在上面執行這些承諾的協議。智能合約是一種在知足特定條件時，自動執行的計算機程序。能夠避免第三方中間商的服務，幫助您以透明、無衝突的方式交換財產、股份或任何有價值的東西。可是不可避免地，智能合約也會先天或者後天地包含或引入一些漏洞，而這些漏洞可能會對使用者的財產等有價值的東西形成不可挽回的損失。例如：北京時間2016年6月17日，區塊鏈業界最大的衆籌項目TheDAO遭到攻擊,目前已致使300多萬以太幣資產被分離出TheDAO 資產池，究其緣由就是因爲其編寫的智能合約存在着重大缺陷。因而可知，創建一個智能合約相關的漏洞庫對智能合約以及區塊鏈的發展和完善都有着相當重要的影響。

（二）漏洞庫

　　一、漏洞

　　漏洞是信息技術、產品、系統在設計、實現、配置、運行等過程當中，有意或無心產生的缺陷，一旦被惡意主體所利用，就會形成對信息系統的安全損害。　

　　二、漏洞庫　

　　漏洞庫經過各類渠道在整個互聯網範圍內，不分國界地收集領域相關的漏洞數據和一些補丁措施等信息，而且將收集到的這些信息及時發佈出去，讓你們第一時間內瞭解而且解決本身信息系統存在的問題；另外，漏洞庫也能夠爲提供一些關於宏觀態勢的基礎的分析數據。

2、經常使用的漏洞庫平臺

（一）國際

一、全球信息安全漏洞指紋庫與文件檢測服務

http://cvescan.com

二、美國國家信息安全漏洞庫 

https://nvd.nist.gov/

三、美國國家工控系統行業漏洞庫

https://ics-cert.us-cert.gov/advisories

（二）國內

一、中國國家信息安全漏洞共享平臺(由CNCERT維護)

http://www.cnvd.org.cn
二、國家信息安全漏洞庫(由中國信息安全評測中心維護)

http://www.cnnvd.org.cn/

三、中國國家工控系統行業漏洞

http://ics.cnvd.org.cn/

　　此處選取國家信息安全漏洞庫、中國國家工控系統行業漏洞和美國國家信息安全漏洞庫進行比較分析。

2、調研分析

（一）三個漏洞庫平臺的簡要分析

一、國家信息安全漏洞庫

 （1）基本信息：

　　中國國家信息安全漏洞庫，英文名稱"China National Vulnerability Database of Information Security "，簡稱"CNNVD"，是中國信息安全測評中心爲切實履行漏洞分析和風險評估的職能，負責建設運維的國家信息安全漏洞庫，爲我國信息安全保障提供基礎服務。

　　網址：http://www.cnnvd.org.cn/

（2）界面展現：

二、中國國家工控系統行業漏洞

（1）基本信息：

　　網址：http://ics.cnvd.org.cn/

 （2）界面展現：

三、美國國家信息安全漏洞庫

（1）基本信息：

　　網址：https://nvd.nist.gov/

（2）界面展現：

 

（二）問題分析

• 這些軟件的開發者是怎麼說服你（陌⽣⼈）成爲他們的⽤戶的？他們的⽬標都是盈利麼？他們的⽬標都是賺取⽤戶的現⾦麼？仍是別的？

　　因爲這類軟件是供專業人士使用的，只要它們作的足夠全面、足夠權威，就必定可以吸引更多的專業認識做爲工具進行使用。

　　他們的目標不是盈利，也不是爲了賺取用戶的現金。漏洞庫，尤爲是國家級別漏洞庫的開發是爲了讓更多的專業人士瞭解開發過程當中可能會遇到的漏洞問題，提早預知危險，防止形成不可挽回的損失。All For Security.

• 這些軟件是如何到你⼿⾥的（郵購，下載，互相拷⻉、在線使用……）　　

　　目前我所瞭解到的漏洞庫平臺都是在線使用的，不收取任何的費用，只要有網絡就能夠進行訪問和查詢。

• 這些軟件有Bug 麼？⼜是如何更新新版本的？

　　基於B/S架構的網站或軟件擁有B/S架構的一切通病，此處很少贅述。可能會出現出現對這些網站的攻擊，對漏洞庫中信息進行篡改和惡意增刪，從而誤導大衆。

　　版本更新經過後臺從新發布便可以實現。

• 此類軟件是何時開始出現的，同⼀類型的軟件之間是如何競爭的？ 發展趨勢如何？

　　中國的國家漏洞庫較國際發展要緩一些，已於2009年10月18日投入使用，至今也有十年了。

　　目前國內此類軟件競爭不是很大，主要是因爲本軟件不屬於盈利類軟件，且各漏洞庫分屬領域不一樣，所以在開發過程當中能夠暫不考慮競爭的問題。

　　隨着大數據、人工智能、區塊鏈、智能合約等專項領域的日漸火熱，能夠預見，針對這些領域的漏洞庫也會穩步發展起來，所以對於漏洞庫的發展前景我仍是比較看好的。

• 列舉你在使⽤上述軟件時觀察到的「特殊」現象，它們和硬件有什麼不一樣？這些能說明軟件的某些本質特性麼？

　　」特殊「現象：可供不一樣用戶同時使用。

　　和硬件的不一樣：軟件是程序員對計算機系統編寫的程序，是計算機系統的上層。硬件，是複雜的電路系統，是計算機系統的底層。

• 你個⼈第⼀次⽤此類軟件是何時，你當時是⼏年級，班主任叫什麼？在哪⾥，什麼狀態，當時的軟件是如何獲得的（買的正版，盜版，下載？）

　　說來慚愧，我是在2019年瞭解智能合約這個領域的過程當中才瞭解到漏洞庫的相關知識的；而對漏洞庫平臺的使用也是在本身瞭解到要作相關工做的時候纔去涉獵。但願以後能使用漏洞庫更加高效地完成相關工做。

• 你是如何精通這類軟件的？它給你什麼好處，壞處？

　　目前來講還談不上「精通」二字，它給個人好處就是高效便捷地知曉漏洞類型和漏洞危害，讓我可以提早避免可能出現的問題。壞處還還沒有發現。

• 你如今還⽤它麼，或者是同類軟件的不一樣品牌，爲什麼?

　　如今剛開始使用而且之後也會繼續使用，由於現今國家級別漏洞庫構建地已經十分完善，能夠稱得上是一件駕輕就熟的工具。但願我也能經過本身的努力，作出一個讓別人也能感受到有所收益的漏洞庫。

• 這種軟件再過10年，20年還會存在麼，爲何？

會存在。由於漏洞是不可預見的，誰也沒有辦法說本身的軟件裏不存在任何一個漏洞，而只要有漏洞存在，漏洞庫就必定有它的用武之地。