Invezz

Desenvolvedores do Bitcoin Core implementam nova política de divulgação de bugs

Desenvolvedores do Bitcoin Core implementam nova política de divulgação de bugs
Rony Roy
04 de jul. de 2024, 04:33 AM
  • A política introduz procedimentos padrão para relatar e categorizar vulnerabilidades com base na gravidade.
  • O objetivo é corrigir o equívoco de que o Bitcoin Core está livre de bugs.
  • A nova política de divulgação será adotada gradativamente.

Os desenvolvedores do Bitcoin Core implementaram uma nova política de divulgação de segurança. A política estabelecerá medidas de notificação padronizadas para relatar vulnerabilidades.

Bitcoin Core é um software para operadores de nós Bitcoin usado para validar transações e construir blocos. O aplicativo desempenha um papel crucial na segurança do blockchain Bitcoin.

Mais transparência

Antoine Poinsot, desenvolvedor principal do Bitcoin, junto com outros cinco, observou em um e-mail que o Bitcoin Core “tem historicamente feito um trabalho ruim na divulgação pública de bugs críticos à segurança”.

Isso cria um equívoco entre os usuários do Bitcoin de que o Bitcoin Core está livre de bugs. No entanto, os desenvolvedores acreditam que não é esse o caso e que essa “percepção” é imprecisa e “perigosa”.

As divulgações de segurança são o processo pelo qual desenvolvedores e pesquisadores externos relatam lacunas em um sistema para a organização afetada. Essa noção é bastante semelhante aos programas de recompensa por bugs.

O processo de divulgação normalmente envolve detectar uma vulnerabilidade, relatá-la confidencialmente, verificar a vulnerabilidade e, em seguida, divulgá-la publicamente de acordo com os detalhes.

Como parte da nova política, as vulnerabilidades na rede são categorizadas com base na sua gravidade.

Três categorizações principais para vulnerabilidades

Bugs de baixa gravidade incluem aqueles que têm impacto mínimo na rede. Esses bugs devem ser divulgados após o lançamento de uma correção. Por exemplo, um bug de carteira que requer acesso físico a um sistema seria classificado nesta categoria.

Bugs de gravidade média a alta seriam divulgados um ano após o fim da vida útil da última versão afetada (EOL). Isso incluiria bugs com impacto limitado, como falhas remotas na rede local.

Finalmente, bugs críticos que representam riscos significativos para a rede seriam tratados através de procedimentos ad hoc devido à sua natureza grave. Esses bugs tendem a ameaçar a integridade da rede.

Ao longo dos anos, a rede Bitcoin passou por vários problemas de segurança, chamados de Vulnerabilidades e Exposições Comuns (CVEs).

Por exemplo, CVE-2012-2459 permitiria que invasores criassem blocos inválidos que pareciam válidos. Enquanto isso, o CVE-2018-17144 permitiu que invasores criassem Bitcoins adicionais fora do limite fixo de fornecimento da rede.

De acordo com Poinsot, a nova política facilitará uma melhor comunicação sobre os riscos de executar uma versão desatualizada do protocolo central do Bitcoin.

Ele acrescentou que disponibilizar esses bugs para um grupo mais amplo de colaboradores pode “ajudar a prevenir erros futuros”.

A política atualizada foi elogiada pelo desenvolvedor Eric Voskuil, que escreveu:

A partir de agora, Poinsot acrescentou que todas as vulnerabilidades corrigidas nas versões 0.21.0 e anteriores do Bitcoin Core foram divulgadas. As divulgações das versões 0.22.0 e 0.23.0 estão previstas para julho e agosto.

As novas mudanças seriam “adotadas gradualmente” nos próximos meses, acrescentou.