Invezz

Programiści Bitcoin Core wdrażają nową politykę ujawniania błędów

Programiści Bitcoin Core wdrażają nową politykę ujawniania błędów
Rony Roy
04 lip 2024, 09:32 AM
  • Polityka wprowadza standardowe procedury raportowania i kategoryzowania podatności na podstawie ważności.
  • Ma na celu skorygowanie błędnego przekonania, że Bitcoin Core jest wolny od błędów.
  • Nowa polityka informacyjna będzie wdrażana stopniowo.

Programiści Bitcoin Core wdrożyli nową politykę ujawniania informacji o bezpieczeństwie. Polityka ustanowi standardowe środki raportowania dotyczące zgłaszania luk w zabezpieczeniach.

Bitcoin Core to oprogramowanie dla operatorów węzłów Bitcoin, które służy do sprawdzania poprawności transakcji i budowania bloków. Aplikacja odgrywa kluczową rolę w zabezpieczeniu blockchainu Bitcoin.

Większa przejrzystość

Antoine Poinsot, programista rdzenia Bitcoin, wraz z pięcioma innymi osobami, zauważyli w e-mailu, że Bitcoin Core „historycznie słabo radził sobie z publicznym ujawnianiem błędów krytycznych dla bezpieczeństwa”.

Tworzy to błędne przekonanie wśród użytkowników Bitcoin, że Bitcoin Core jest wolny od błędów. Twórcy uważają jednak, że tak nie jest, a takie „postrzeganie” jest niedokładne i „niebezpieczne”.

Ujawnianie zabezpieczeń to proces, w ramach którego programiści i zewnętrzni badacze zgłaszają luki w systemie organizacji, której to dotyczy. Pojęcie to jest dość podobne do programów nagród za błędy.

Proces ujawniania zazwyczaj obejmuje wykrycie luki, poufne zgłoszenie jej, weryfikację luki, a następnie publiczne ujawnienie jej zgodnie ze szczegółami.

W ramach nowej polityki luki w sieci są kategoryzowane na podstawie ich wagi.

Trzy główne kategorie luk w zabezpieczeniach

Błędy o niskiej istotności obejmują te, które mają minimalny wpływ na sieć. Błędy te muszą zostać ujawnione po wydaniu poprawki. Na przykład błąd portfela wymagający fizycznego dostępu do systemu zostałby sklasyfikowany w tej kategorii.

Błędy o średniej i dużej ważności zostaną ujawnione rok po wycofaniu ostatniej wersji, której dotyczy problem (EOL). Obejmują one błędy o ograniczonym wpływie, takie jak zdalne awarie sieci lokalnej.

Wreszcie, błędy krytyczne, które stwarzają znaczne ryzyko dla sieci, będą rozpatrywane w drodze procedur ad hoc ze względu na ich poważny charakter. Błędy te zwykle zagrażają integralności sieci.

Na przestrzeni lat sieć Bitcoin doświadczyła wielu problemów związanych z bezpieczeństwem, nazywanych typowymi lukami i zagrożeniami (CVE).

Na przykład CVE-2012-2459 umożliwiłby atakującym utworzenie nieprawidłowych bloków, które wyglądały na prawidłowe. Tymczasem CVE-2018-17144 umożliwił atakującym utworzenie dodatkowych Bitcoinów poza ustalonym limitem dostaw w sieci.

Według Poinsota nowa polityka ułatwi lepszą komunikację na temat zagrożeń wynikających z korzystania z przestarzałej wersji podstawowego protokołu Bitcoin.

Dodał, że udostępnienie tych błędów szerszej grupie autorów może „pomóc w zapobieganiu przyszłym”.

Zaktualizowana polityka została pochwalona przez programistę Erica Voskuila, który napisał:

Na chwilę obecną Poinsot dodał, że wszystkie luki naprawione w Bitcoin Core w wersji 0.21.0 i wcześniejszych zostały ujawnione. Ujawnienia wersji 0.22.0 i 0.23.0 zaplanowano na lipiec i sierpień.

Dodał, że nowe zmiany będą „stopniowo przyjmowane” w nadchodzących miesiącach.