先週のFVMマイルストーン0.5進捗状況アップデートに続き、FVMマイルストーン1のコードベースの脆弱性を見つけるためのFVMバグバウンティプログラムを発表しました。これには、バグハンターやコミュニティ開発者らを招待し、5月のFilecoinネットワークアップグレードv16 Skyrの一部であるFVM M1のリリースに向けて、協力していただくこととなりました。
Filecoin Virtual Machineは、いくつかのマイルストーンでFilecoinのメインネットに追加されています。マイルストーン1の一部として、FilecoinネットワークはFilecoin Virtual Machineの独占的使用に移行する予定です。これは、現在のレガシーVMから、すべてのクライアント実装による新しいWasmベースのリファレンスFVMの採用に切り替えることを意味します。
これには、Wasmの実行コストを考慮した新しいガスモデルも含まれる予定です。今のところ、マイルストーン1ではRustに組み込まれているアクターのみがサポートされていますが、9月に予定されているマイルストーン2のリリースでは、ユーザがプログラム可能なアクターの実装も視野に入れているとのことです。
これは完全に新しいコードベースであるため、より多くの外部開発者を招き、私たちの実装に潜在するバグがないかM1コードベースを監査してもらうことが最大の目的の1つでもあります。さらに、Filecoinコミュニティに、私たちのリファレンス実装であるFVMと更新されたBuiltin actors v8を調査し、そのアプローチに関するフィードバックを提供する機会を与えたいと考えています。
このプログラムとは別に、Filecoinコントリビューターチームによって最初の内部監査が実施されています。また、これには外部のセキュリティ専門家も参加しています。さらに、いくつかの強化の取り組みについても進行中です。
FVM M1バグバウンティの対象範囲について
- リファレンスFVM(ref-fvm)
- Filecoin VMのリファレンス実装(仕様)。
- Rustで書かれており、FFIを介して非Rustクライアントに統合したり、Rustクライアントに直接統合することを目的としています。
- Ref FVMをFFI経由でLotusに統合します。
- Goで書かれています。
- (記載されているPRは単にコードベースへの入り口であり、範囲はそれに限定されるものではありません。マスターや他のPRを確認してください)。
- FFIのグルーコードです。
- GoとRustで書かれています。
- (上記同様、リンク先のPRは単なる入り口であり、範囲はこれに限定されません)。
- Rustで書かれ、Wasmでコンパイルされた組み込みアクターは、すべてのFilecoinクライアントで使用されます。
- アクターの仕様とアクターのテストベクターが参考として公開されています。
- Goで書かれた実行可能な仕様書はfilecoin-project/specs-actorsで入手可能で、これらはFVM以前のFilecoinネットワークでより有効に機能します。
- アクターの監査には通常、Filecoinドメインの専門知識が必要であることに注意してください。
報酬と対象外について
FVMチームは、M1のリリースに先立ち、コミュニティからできるだけ多くのレビューを得たいと考えています。しかし、ハードニングが現在も進行中のパートがあります。そのため、Githubに掲載されているKnown Issuesを含むExclusions to Scopeのリストを作成し、定期的に更新していく予定です。これらの領域は、このリストにチェックが入って初めてバウンティの対象となります。
FVM M1バグの報告に対する報奨金は、Filecoinセキュリティプログラムの通常のバグバウンティ報奨金と同じです。同様に、範囲外であることを含め、通常のFilecoinセキュリティプログラムのルールが適用されます。
Filecoinクライアント実装(Lotus、Venus、Forest、Fuhon)とFilecoin Proofsライブラリのバグは、通常のFilecoinセキュリティプログラムの範囲に属します。最後に、以前のFilecoin監査は、Filecoin Specsの監査セクションで見ることができます。
テストツール
FVMテストベクターは、ノード実装間の相互運用性テストをサポートするFilecoinテストベクターに基づき、特にFVMをターゲットとし、テストを行います。また、コミュニティ開発者チームは、FVMの正確性をテストするための統合テストフレームワークに取り組んでいます。また、FVMの様々な部品のファジングテストも行われる予定です。
バグの報告
脆弱性を報告した場合、報奨金の対象となるため、security@filecoin.ioまでご連絡ください。ここに記載されている機密報告ガイドラインを使用することができます。また、FVMバグバウンティプログラムは、こちらのGitcoinに掲載されており、ImmuneFiでも共有される予定です。
SlackやTwitterなど、公共の場でパブリックイシューを提出したり、脆弱性について議論したりしないようにお願いします。もし行った場合は、報奨金の対象外となります。
今後の展望
5月末まで、既存の開発者コミュニティや外部の新しい開発者の方々にご協力いただき、FVM M1の潜在的な脆弱性を幅広く発見し、FVM M2でのユーザープログラマビリティとEVM互換性を追加するマイルストーンにつなげたいと考えています。
これは、Filecoinプロトコルに追加される新機能の1つで、カスタムアクターにより、開発者はプログラマブルストレージからDeFi、DAO、サブスクリプション、保険など、Filecoinが提供できる実に幅広い潜在的ユースケースを活用できるようになります。より多くの情報を得たい場合は、FVMのウェブサイトをご覧ください。
M2のリリースに向けて、FVMチームは7月頃、次期M2コードベースに対するさらなるセキュリティ監査とバグバウンティラウンドを開始する予定です。また、開発者のワークフロー、ツール、および初期Dappsを含む初期ビルダー向けのFVM Foundry Programを通じて、多様な開発者グループに初期FVMを試していただけます。
この夏、M2向けのFVMバグバウンティにご期待ください。
本ブログは、www.filecoin.io/blogからの翻訳となります。
ソース:https://filecoin.io/blog/posts/introducing-the-fvm-milestone-1-bug-bounty-program-audits/
コメント