Invezz

Pemaju Bitcoin Core melaksanakan dasar pendedahan pepijat baharu

Pemaju Bitcoin Core melaksanakan dasar pendedahan pepijat baharu
Rony Roy
04 Jul 2024, 15:29 PTG
  • Dasar ini memperkenalkan prosedur standard untuk melaporkan dan mengkategorikan kelemahan berdasarkan keterukan.
  • Ia bertujuan untuk membetulkan salah tanggapan bahawa Bitcoin Core bebas daripada pepijat.
  • Dasar pendedahan baharu akan diterima pakai secara beransur-ansur.

Pemaju Bitcoin Core telah melaksanakan dasar pendedahan keselamatan baharu. Dasar ini akan mewujudkan langkah pelaporan piawai untuk melaporkan kelemahan.

Bitcoin Core ialah perisian untuk pengendali nod Bitcoin yang digunakan untuk mengesahkan transaksi dan membina blok. Aplikasi ini memainkan peranan penting dalam mengamankan blockchain Bitcoin.

Lebih ketelusan

Antoine Poinsot, pembangun teras Bitcoin, bersama lima yang lain, menyatakan dalam e-mel bahawa Bitcoin Core "secara sejarah telah melakukan kerja yang buruk dalam mendedahkan pepijat kritikal keselamatan secara terbuka."

Ini mewujudkan salah tanggapan di kalangan pengguna Bitcoin bahawa Bitcoin Core bebas daripada pepijat. Walau bagaimanapun, pembangun percaya itu tidak berlaku dan "persepsi" ini adalah tidak tepat dan "berbahaya."

Pendedahan keselamatan ialah proses melalui mana pembangun dan penyelidik luar melaporkan kelemahan dalam sistem kepada organisasi yang terjejas. Tanggapan ini agak serupa dengan program hadiah pepijat.

Proses pendedahan biasanya melibatkan mengesan kelemahan, melaporkannya secara sulit, mengesahkan kelemahan dan kemudian mendedahkannya secara terbuka sejajar dengan butiran.

Sebagai sebahagian daripada dasar baharu, kelemahan dalam rangkaian dikategorikan berdasarkan keterukan mereka.

Tiga kategori utama untuk kelemahan

Pepijat keterukan rendah termasuk pepijat yang mempunyai kesan minimum pada rangkaian. Pepijat ini mesti didedahkan selepas pembetulan dikeluarkan. Sebagai contoh, pepijat dompet yang memerlukan akses fizikal kepada sistem akan dikategorikan di bawah ini.

Pepijat keterukan sederhana hingga tinggi akan didedahkan setahun selepas keluaran terakhir terjejas berakhir hayat (EOL). Ini akan terdiri daripada pepijat dengan kesan terhad, seperti ranap jauh rangkaian tempatan.

Akhir sekali, pepijat kritikal yang menimbulkan risiko besar kepada rangkaian akan dikendalikan melalui prosedur ad-hoc kerana sifatnya yang teruk. Pepijat ini cenderung mengancam integriti rangkaian.

Selama bertahun-tahun, rangkaian Bitcoin telah mengalami pelbagai isu keselamatan, yang digelar Kerentanan dan Pendedahan Biasa (CVE).

Sebagai contoh, CVE-2012-2459, akan membenarkan penyerang membuat blok tidak sah yang kelihatan sah. Sementara itu, CVE-2018-17144 membenarkan penyerang mencipta Bitcoin tambahan di luar had bekalan tetap rangkaian.

Menurut Poinsot, dasar baharu itu akan memudahkan komunikasi yang lebih baik tentang risiko menjalankan versi protokol teras Bitcoin yang sudah lapuk.

Dia menambah bahawa menjadikan pepijat ini tersedia kepada kumpulan penyumbang yang lebih luas boleh "membantu mencegah yang akan datang."

Dasar yang dikemas kini telah dipuji oleh pembangun Eric Voskuil, yang menulis:

Setakat ini, Poinsot menambah bahawa semua kelemahan yang diperbaiki dalam Bitcoin Core versi 0.21.0 dan lebih awal telah didedahkan. Pendedahan untuk versi 0.22.0 dan 0.23.0 dijadualkan pada bulan Julai dan Ogos.

Perubahan baharu itu akan "diguna pakai secara beransur-ansur" dalam beberapa bulan akan datang, tambahnya.