Invezz

Bitcoin Core-ontwikkelaars implementeren een nieuw beleid voor het vrijgeven van bugs

Bitcoin Core-ontwikkelaars implementeren een nieuw beleid voor het vrijgeven van bugs
Rony Roy
04 jul 2024, 09:30 A.M.
  • Het beleid introduceert standaardprocedures voor het melden en categoriseren van kwetsbaarheden op basis van ernst.
  • Het is bedoeld om de misvatting te corrigeren dat Bitcoin Core vrij is van bugs.
  • Het nieuwe openbaarmakingsbeleid zal geleidelijk worden ingevoerd.

Bitcoin Core-ontwikkelaars hebben een nieuw beleid voor het vrijgeven van beveiliging geïmplementeerd. Het beleid zal gestandaardiseerde rapportagemaatregelen vaststellen voor het melden van kwetsbaarheden.

Bitcoin Core is software voor Bitcoin-knooppuntoperatoren die wordt gebruikt om transacties te valideren en blokken te bouwen. De applicatie speelt een cruciale rol bij het beveiligen van de Bitcoin-blockchain.

Meer transparantie

Antoine Poinsot, een Bitcoin-kernontwikkelaar, merkte samen met vijf anderen in een e-mail op dat Bitcoin Core “historisch gezien slecht werk heeft geleverd bij het publiekelijk openbaar maken van beveiligingskritieke bugs.”

Dit creëert een misvatting onder Bitcoin-gebruikers dat Bitcoin Core vrij is van bugs. De ontwikkelaars zijn echter van mening dat dit niet het geval is en deze ‘perceptie’ is onnauwkeurig en ‘gevaarlijk’.

Beveiligingsonthullingen zijn het proces waarmee ontwikkelaars en externe onderzoekers mazen in een systeem melden aan de getroffen organisatie. Dit idee lijkt veel op bugbounty-programma's.

Het openbaarmakingsproces omvat doorgaans het opsporen van een kwetsbaarheid, het vertrouwelijk melden ervan, het verifiëren van de kwetsbaarheid en het vervolgens openbaar maken ervan in overeenstemming met de details.

Als onderdeel van het nieuwe beleid worden kwetsbaarheden in het netwerk gecategoriseerd op basis van hun ernst.

Drie hoofdcategorieën voor kwetsbaarheden

Onder bugs met een lage ernst vallen ook bugs die een minimale impact op het netwerk hebben. Deze bugs moeten worden bekendgemaakt nadat een oplossing is uitgebracht. Een portemonnee-bug die fysieke toegang tot een systeem vereist, zou hieronder worden gecategoriseerd.

Bugs van gemiddelde tot hoge ernst zouden een jaar nadat de laatste betrokken release end-of-life (EOL) is geworden, worden onthuld. Deze omvatten bugs met een beperkte impact, zoals crashes op afstand van lokale netwerken.

Ten slotte zouden kritieke bugs die aanzienlijke risico's voor het netwerk met zich meebrengen, vanwege hun ernstige aard via ad-hocprocedures worden afgehandeld. Deze bugs hebben de neiging de netwerkintegriteit te bedreigen.

Door de jaren heen heeft het Bitcoin-netwerk meerdere beveiligingsproblemen ondervonden, de zogenaamde Common Vulnerabilities and Exposures (CVE’s).

CVE-2012-2459 zou aanvallers bijvoorbeeld in staat stellen ongeldige blokken te maken die er geldig uitzagen. Ondertussen stelde CVE-2018-17144 aanvallers in staat extra Bitcoins te creëren buiten de vaste voorraadlimiet van het netwerk.

Volgens Poinsot zal het nieuwe beleid een betere communicatie mogelijk maken over de risico’s van het gebruik van een verouderde versie van het Bitcoin-kernprotocol.

Hij voegde eraan toe dat het beschikbaar maken van deze bugs voor een bredere groep bijdragers “toekomstige bugs kan helpen voorkomen”.

Het bijgewerkte beleid is geprezen door ontwikkelaar Eric Voskuil, die schreef:

Vanaf nu voegde Poinsot eraan toe dat alle kwetsbaarheden die zijn opgelost in Bitcoin Core-versies 0.21.0 en eerder zijn onthuld. Openbaarmakingen voor versies 0.22.0 en 0.23.0 staan gepland voor juli en augustus.

De nieuwe veranderingen zouden de komende maanden “geleidelijk worden aangenomen”, voegde hij eraan toe.