Invezz

Bitcoin Core-udviklere implementerer ny politik for afsløring af fejl

Bitcoin Core-udviklere implementerer ny politik for afsløring af fejl
Rony Roy
04. jul. 2024, 09:25 AM
  • Politikken introducerer standardprocedurer for rapportering og kategorisering af sårbarheder baseret på sværhedsgrad.
  • Det har til formål at rette op på den misforståelse, at Bitcoin Core er fri for fejl.
  • Den nye oplysningspolitik vil gradvist blive vedtaget.

Bitcoin Core-udviklere har implementeret en ny sikkerhedspolitik. Politikken vil etablere standardiserede rapporteringsforanstaltninger for rapportering af sårbarheder.

Bitcoin Core er en software til Bitcoin node operatører, der bruges til at validere transaktioner og bygge blokke. Applikationen spiller en afgørende rolle i sikringen af Bitcoin blockchain.

Mere gennemsigtighed

Antoine Poinsot, en Bitcoin-kerneudvikler, sammen med fem andre, bemærkede i en e-mail, at Bitcoin Core "historisk har gjort et dårligt stykke arbejde med at offentliggøre sikkerhedskritiske fejl."

Dette skaber en misforståelse blandt Bitcoin-brugere om, at Bitcoin Core er fri for fejl. Udviklerne mener dog, at det ikke er tilfældet, og denne "opfattelse" er unøjagtig og "farlig".

Sikkerhedsoplysninger er den proces, hvorigennem udviklere og eksterne forskere rapporterer smuthuller i et system til den berørte organisation. Denne forestilling ligner meget bug bounty-programmer.

Offentliggørelsesprocessen involverer typisk at opdage en sårbarhed, rapportere den fortroligt, verificere sårbarheden og derefter offentliggøre den i overensstemmelse med detaljerne.

Som en del af den nye politik er sårbarheder i netværket kategoriseret ud fra deres alvor.

Tre hovedkategoriseringer for sårbarheder

Lavsværhedsfejl inkluderer dem, der har minimal indvirkning på netværket. Disse fejl skal afsløres efter en rettelse er frigivet. For eksempel vil en tegnebogsfejl, der kræver fysisk adgang til et system, kategoriseres under dette.

Mellem til høj sværhedsgrad fejl vil blive afsløret et år efter, at den sidste berørte udgivelse går end-of-life (EOL). Disse ville bestå af fejl med begrænset indvirkning, såsom fjernnedbrud på lokalt netværk.

Endelig vil kritiske fejl, som udgør væsentlige risici for netværket, blive håndteret via ad hoc-procedurer på grund af deres alvorlige karakter. Disse fejl har en tendens til at true netværksintegriteten.

I årenes løb har Bitcoin-netværket oplevet adskillige sikkerhedsproblemer, kaldet Common Vulnerabilities and Exposures (CVE'er).

For eksempel ville CVE-2012-2459 tillade angribere at oprette ugyldige blokke, der så gyldige ud. I mellemtiden tillod CVE-2018-17144 angribere at oprette yderligere Bitcoins uden for netværkets faste forsyningsloft.

Ifølge Poinsot vil den nye politik lette bedre kommunikation om risiciene ved at køre en forældet version af Bitcoin-kerneprotokollen.

Han tilføjede, at det at gøre disse fejl tilgængelige for den bredere gruppe af bidragydere kan "hjælpe med at forhindre fremtidige."

Den opdaterede politik er blevet rost af udvikleren Eric Voskuil, som skrev:

Fra nu af tilføjede Poinsot, at alle sårbarheder, der er rettet i Bitcoin Core-versioner 0.21.0 og tidligere, er blevet afsløret. Oplysninger for version 0.22.0 og 0.23.0 er planlagt til juli og august.

De nye ændringer vil blive "gradvist vedtaget" i de kommende måneder, tilføjede han.