Die Hyperledger-Projekte müssen sich ab Version 1.0 automatisch einem Audit durch eine externe Firma unterziehen, das Sicherheitsprobleme aufspüren soll. Diesmal war Sawtooth an der Reihe und fanden die Sicherheitstester Schwachstellen.
Hyperledger heißt das Open-Source-Blockchain-Projekt, das unter den Fittichen der Linux Foundation heranwächst und seinerseits verschiedene Frameworks und Tools beherbergt. Sawtooth ist eines davon. Über das Framework lassen sich verteilte Datenbanken bauen, ausliefern und betreiben. Das Projekt stammt von Intel und setzt auf einen neuen Konsensmechanismus namens “Proof of Elapsed Time”. Sawtooth erlaubt es zum Beispiel, bestimmte Waren mit Sensoren zu versehen, um sie über die Blockchain zu tracken.
Mit dem Abspielen des Videos erklären Sie sich damit einverstanden, externe Inhalte von YouTube anzuzeigen. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Für weitere Informationen besuchen Sie die Datenschutzseite
Den erforderlichen Audit für die Version 1.0 hat die Firma Nettitude vorgenommen, die bereits bei Hyperledger Fabric zum Einsatz kam. Neben fünf Verwundbarkeiten mit mittlerer und zwei mit niedriger Priorität fand Nettitude auch eine schwerwiegende Sicherheitslücke. Dank unzureichend gesetzter Zugriffsrechte gelang es der Firma, in den Besitz des Validator Private Key zu kommen. Daneben traten weniger gravierende Probleme unter anderem mit dem REST API und der Authentifizierung auf.
Insgesamt bescheinigten die Sicherheitstester der Software im Management Report aber, “gut geschrieben” zu sein. Details liefert der technische Report zum Audit. Die Sawtooth-Entwickler haben die Probleme laut der Ankündigung mittlerweile behoben, das Hyperledger-Prozess schließt den mit Version 1.0 einhergehenden Untersuchungsprozess damit ab.






