Invezz

Bitcoin Core-utviklere implementerer ny policy for avsløring av feil

Bitcoin Core-utviklere implementerer ny policy for avsløring av feil
Rony Roy
04. juli 2024, 09:31 A.M.
  • Retningslinjene introduserer standardprosedyrer for rapportering og kategorisering av sårbarheter basert på alvorlighetsgrad.
  • Den har som mål å rette opp misforståelsen om at Bitcoin Core er fri for feil.
  • Den nye avsløringspolitikken vil bli gradvis vedtatt.

Bitcoin Core-utviklere har implementert en ny policy for sikkerhetsavsløring. Policyen vil etablere standardiserte rapporteringstiltak for rapportering av sårbarheter.

Bitcoin Core er en programvare for Bitcoin-nodeoperatører som brukes til å validere transaksjoner og bygge blokker. Applikasjonen spiller en avgjørende rolle for å sikre Bitcoin-blokkjeden.

Mer åpenhet

Antoine Poinsot, en Bitcoin-kjerneutvikler, sammen med fem andre, bemerket i en e-post at Bitcoin Core "historisk har gjort en dårlig jobb med å offentliggjøre sikkerhetskritiske feil."

Dette skaper en misforståelse blant Bitcoin-brukere om at Bitcoin Core er fri for feil. Utviklerne mener imidlertid at det ikke er tilfelle, og denne "oppfatningen" er unøyaktig og "farlig".

Sikkerhetsavsløringer er prosessen der utviklere og eksterne forskere rapporterer smutthull i et system til den berørte organisasjonen. Denne ideen er ganske lik bug bounty-programmer.

Avsløringsprosessen innebærer vanligvis å oppdage en sårbarhet, rapportere den konfidensielt, verifisere sårbarheten og deretter offentliggjøre den i samsvar med detaljene.

Som en del av den nye policyen blir sårbarheter i nettverket kategorisert basert på alvorlighetsgraden.

Tre hovedkategoriseringer for sårbarheter

Feil med lav alvorlighetsgrad inkluderer de som har minimal innvirkning på nettverket. Disse feilene må avsløres etter at en rettelse er utgitt. For eksempel vil en lommebokfeil som krever fysisk tilgang til et system kategoriseres under dette.

Middels til høy alvorlighetsgrad feil vil bli avslørt et år etter at den siste berørte utgivelsen går ut av livet (EOL). Disse vil bestå av feil med begrenset innvirkning, for eksempel fjernkrasj i lokale nettverk.

Til slutt vil kritiske feil som utgjør betydelig risiko for nettverket bli håndtert via ad-hoc-prosedyrer på grunn av deres alvorlige natur. Disse feilene har en tendens til å true nettverksintegriteten.

Gjennom årene har Bitcoin-nettverket opplevd flere sikkerhetsproblemer, kalt Common Vulnerabilities and Exposures (CVE).

For eksempel ville CVE-2012-2459 tillate angripere å lage ugyldige blokker som så gyldige ut. I mellomtiden tillot CVE-2018-17144 angripere å lage flere Bitcoins utenfor nettverkets faste forsyningstak.

Ifølge Poinsot vil den nye policyen legge til rette for bedre kommunikasjon om risikoen ved å kjøre en utdatert versjon av Bitcoin-kjerneprotokollen.

Han la til at å gjøre disse feilene tilgjengelige for den bredere gruppen av bidragsytere kan "hjelpe med å forhindre fremtidige."

Den oppdaterte policyen har blitt hyllet av utvikler Eric Voskuil, som skrev:

Per nå la Poinsot til at alle sårbarheter fikset i Bitcoin Core-versjoner 0.21.0 og tidligere er avslørt. Avsløringer for versjon 0.22.0 og 0.23.0 er planlagt for juli og august.

De nye endringene vil bli "gradvis vedtatt" i løpet av de kommende månedene, la han til.