Response to China CERT Report

오픈 소스 방식 분산 금융 기술의 선두 주자로서 Ripple은 보안 연구원의 중요성을 인식하고 있으며, 책임감을 가지고 잠재적인 보안 취약성을 공개하도록 항상 독려하고 있습니다. 버그 바운티 프로그램. 또한 Ripple은 정기적으로 외부 보안 감사를 진행하고 있으며, 실제로 Ripple Consensus Ledger(RCL) 기술 관리자들(Ripple 사용)은 일상적으로 C++ 코드베이스에서 정적 및 동적 분석 도구를 사용하고 있습니다(최신 버전 0.50.0-b1).

최근 내부 정적 분석기를 실행한 결과 Ripple의 오류 발생률이 오픈 소스 프로젝트의 일반적인 임계값보다 낮다는 것을 확인했습니다. 현재까지 Ripple의 C++ 코드베이스에 대한 정적 및 동적 분석 결과 발견된 치명적인 취약점은 없었으며, 확인된 문제는 허위양성이었습니다. 자동 검사 도구를 사용하는 것 외에 여러 엔지니어가 코드를 수동 검토하여 단 하나의 취약점도 발견하지 못하였으며, 발견된 사소한 문제는 오래 전에 수정되었습니다.

또한 최근 글로벌 보안 업체인 NCC 그룹은 독립적인 보안 감사를 통해 심각한 보안 취약점이 발견되지 않았다고 밝혔습니다. 그리고 Ripple은 "제대로 작성 및 설계된 솔루션"으로 "구현을 신중하게 검토하는 데 많은 시간을 할애"한 것이 분명하다고 덧붙였습니다.

최근 Blockchain 보안 보고서를 통해 중국 CERT는 Ripple의 오픈 소스, 분산 원장 기술과 연관된 소프트웨어에 "230가지 고위험 보안 취약점"이 있다고 주장했습니다. 그러나 보고서 뒷부분에 이름을 올린 연구원들은 보고서 공개에 앞서 Ripple에 연락하여 책임감있는 내용 공개를 하지 않았으므로 어떤 시험 방법이나 기술이 사용되었는지, 어떤 코드 저장소가 시험 대상으로 사용되었는지 알지 못합니다. 결과적으로 우리는 보안 연구원의 지도 없이, 내용도 거의 없는 상태에서 사실에 대한 주장을 조사해야만 했습니다.

우리의 판단에 의하면, 이 방법론은 보안에 영향을 주지 않는 코드와 중요 보안 코드가 섞여 있는 코드에서 실행되는 자동 분석 도구에 대한 내용으로 엄격히 제한되는 것으로 보입니다. 정량적 결과는 도구에서 확인된 문제 발생 가능성이 있는 취약점의 수와 해당 클래스에서 문제 발생 가능성이 있는 실제 취약점의 심각도에 따라 결정됩니다.(예를 들어, 실제로 버퍼 오버플로 문제가 있고 코드가 보안과 관련된 경우 심각한 문제가 발생할 수 있으므로 버퍼 오버플로가 발생할 수 있는 코드는 위험이 높은 것으로 인식됩니다.)

자동 분석 도구는 일반적으로 약 99%에 달하는 상당히 높은 허위양성 비율을 보입니다. 이와 같은 방법론을 사용하여 이 방식으로 프로젝트 검사를 진행하는 경우 이 방식으로 확인할 수 있는 실제 취약점은 이미 모두 발견되었으므로 허위양성 비율은 거의 100%에 이릅니다.

다시 한 번 강조하지만, Ripple은 보안 연구원의 중요성을 인식하고 있으며 모든 보안 취약점 보고서를 중요하게 여깁니다. 현재 우리는 CERT 보고서의 정확성을 확신하지 못하고 있으며, 보고서 발행 방식을 살펴 보았을 때 보고서 작성 기관의 정당성에 의문을 제기하고 있습니다. 우리는 우리의 프로세스 및 코드베이스에 대한 확신을 가지고 있으며, 이 보고서를 통해 조치가 필요한 항목이 없고 그에 따른 검토 작업에서도 해당되는 항목을 찾을 수 없었음을 명확히 밝힙니다.

우리는 지속적으로 보안 취약성에 대한 모든 보고서를 신속하고 철저하게 조사하고, 취약성을 발견했다고 생각하는 누구라도 이를 책임감있게 공개하도록 권고할 것입니다 버그 바운티 프로그램.