最近闲来无事,思考对Fabric的智能合约进行安全检测,检测手段具有通用性,也应用到其他合约代码。目前考虑支持Golang 智能合约安全检测,搭建Demo发现技术难度不大,解析AST树,匹配相应的check点。本帖征求广大Fabric开发者建议,Fabric的合约安全点有哪些,提供些可落地的建议,可在评论区写下您的宝贵建议,如功能成体系,值得一做,在github开源搞起。
1)合约代码中不可以导入 math/rand包
2)合约代码中不可包括 GenerateKey 函数(例如:ecdsa.GenerateKey)
3)合约代码中不可以导入 net/http 包
4)合约代码不可以调用Sign 函数(私钥共享)
5)合约代码有符号运算 提示溢出检查
6)合约代码不可包括time.Sleep 函数
7)合约代码定义参数模板,进行fuzz测试
还有哪些安全检查建议,欢迎评论~