Invezz

Gli sviluppatori di Bitcoin Core implementano una nuova politica di divulgazione dei bug

Gli sviluppatori di Bitcoin Core implementano una nuova politica di divulgazione dei bug
Rony Roy
04 lug 2024, 09:28 AM
  • La policy introduce procedure standard per la segnalazione e la classificazione delle vulnerabilità in base alla gravità.
  • Ha lo scopo di correggere l'idea sbagliata secondo cui Bitcoin Core è privo di bug.
  • La nuova politica di divulgazione sarà adottata gradualmente.

Gli sviluppatori di Bitcoin Core hanno implementato una nuova politica di divulgazione della sicurezza. La politica stabilirà misure di segnalazione standardizzate per segnalare le vulnerabilità.

Bitcoin Core è un software per operatori di nodi Bitcoin utilizzato per convalidare transazioni e creare blocchi. L'applicazione svolge un ruolo cruciale nel proteggere la blockchain di Bitcoin.

Più trasparenza

Antoine Poinsot, uno sviluppatore di Bitcoin Core, insieme ad altri cinque, ha osservato in un'e-mail che Bitcoin Core "ha storicamente svolto un pessimo lavoro nel rivelare pubblicamente bug critici per la sicurezza".

Ciò crea un'idea sbagliata tra gli utenti Bitcoin secondo cui Bitcoin Core è privo di bug. Tuttavia, gli sviluppatori ritengono che non sia così e che questa “percezione” sia imprecisa e “pericolosa”.

Le informative sulla sicurezza sono il processo attraverso il quale sviluppatori e ricercatori esterni segnalano le lacune di un sistema all'organizzazione interessata. Questa nozione è abbastanza simile ai programmi di ricompensa dei bug.

Il processo di divulgazione in genere prevede l'individuazione di una vulnerabilità, la segnalazione in modo confidenziale, la verifica della vulnerabilità e quindi la divulgazione pubblica in linea con i dettagli.

Nell'ambito della nuova politica, le vulnerabilità nella rete vengono classificate in base alla loro gravità.

Tre principali categorizzazioni per le vulnerabilità

I bug di bassa gravità includono quelli che hanno un impatto minimo sulla rete. Questi bug devono essere divulgati dopo il rilascio di una correzione. Ad esempio, un bug del portafoglio che richiede l'accesso fisico a un sistema verrebbe classificato sotto questo.

I bug di gravità medio-alta verrebbero divulgati un anno dopo la fine del ciclo di vita (EOL) dell'ultima versione interessata. Questi comprenderebbero bug con impatto limitato, come arresti anomali remoti della rete locale.

Infine, i bug critici che comportano rischi significativi per la rete verrebbero gestiti tramite procedure ad hoc a causa della loro gravità. Questi bug tendono a minacciare l'integrità della rete.

Nel corso degli anni, la rete Bitcoin ha riscontrato numerosi problemi di sicurezza, soprannominati vulnerabilità ed esposizioni comuni (CVE).

Ad esempio, CVE-2012-2459 consentirebbe agli aggressori di creare blocchi non validi che sembravano validi. Nel frattempo, CVE-2018-17144 ha consentito agli aggressori di creare ulteriori Bitcoin al di fuori del limite di fornitura fisso della rete.

Secondo Poinsot, la nuova politica faciliterà una migliore comunicazione sui rischi derivanti dall'esecuzione di una versione obsoleta del protocollo core Bitcoin.

Ha aggiunto che rendere questi bug disponibili al gruppo più ampio di contributori può “aiutare a prevenirne di futuri”.

La politica aggiornata è stata lodata dallo sviluppatore Eric Voskuil, che ha scritto:

A partire da ora, Poinsot ha aggiunto che tutte le vulnerabilità risolte nelle versioni Bitcoin Core 0.21.0 e precedenti sono state divulgate. Le comunicazioni per le versioni 0.22.0 e 0.23.0 sono previste per luglio e agosto.

Le nuove modifiche saranno “adottate gradualmente” nei prossimi mesi, ha aggiunto.