Invezz

Dezvoltatorii Bitcoin Core implementează o nouă politică de dezvăluire a erorilor

Dezvoltatorii Bitcoin Core implementează o nouă politică de dezvăluire a erorilor
Rony Roy
04 iul. 2024, 10:34 A.M.
  • Politica introduce proceduri standard pentru raportarea și clasificarea vulnerabilităților în funcție de gravitate.
  • Scopul este să corecteze ideea greșită conform căreia Bitcoin Core nu conține erori.
  • Noua politică de divulgare va fi adoptată treptat.

Dezvoltatorii Bitcoin Core au implementat o nouă politică de divulgare a securității. Politica va stabili măsuri standardizate de raportare pentru raportarea vulnerabilităților.

Bitcoin Core este un software pentru operatorii de noduri Bitcoin care este folosit pentru a valida tranzacții și a construi blocuri. Aplicația joacă un rol crucial în securizarea blockchain-ului Bitcoin.

Mai multă transparență

Antoine Poinsot, un dezvoltator de bază Bitcoin, împreună cu alți cinci, au remarcat într-un e-mail că Bitcoin Core „a făcut din istorie o treabă proastă în dezvăluirea publică a erorilor critice pentru securitate”.

Acest lucru creează o concepție greșită în rândul utilizatorilor Bitcoin că Bitcoin Core nu conține erori. Cu toate acestea, dezvoltatorii cred că nu este cazul și această „percepție” este inexactă și „periculoasă”.

Dezvăluirile de securitate sunt procesul prin care dezvoltatorii și cercetătorii externi raportează lacune dintr-un sistem către organizația afectată. Această noțiune este destul de asemănătoare cu programele de recompense pentru erori.

Procesul de dezvăluire implică de obicei identificarea unei vulnerabilități, raportarea confidențială a acesteia, verificarea vulnerabilității și apoi dezvăluirea ei publică aliniată cu detaliile.

Ca parte a noii politici, vulnerabilitățile din rețea sunt clasificate în funcție de gravitatea lor.

Trei categorii principale pentru vulnerabilități

Bug-urile de severitate scăzută le includ pe cele care au un impact minim asupra rețelei. Aceste erori trebuie dezvăluite după lansarea unei remedieri. De exemplu, o eroare a portofelului care necesită acces fizic la un sistem ar fi clasificată în această categorie.

Erorile de severitate medie până la înaltă vor fi dezvăluite la un an după ce ultima versiune afectată ajunge la sfârșitul vieții (EOL). Acestea ar cuprinde erori cu impact limitat, cum ar fi blocările de la distanță ale rețelei locale.

În cele din urmă, erorile critice care prezintă riscuri semnificative pentru rețea ar fi tratate prin proceduri ad-hoc, datorită naturii lor severe. Aceste erori tind să amenințe integritatea rețelei.

De-a lungul anilor, rețeaua Bitcoin s-a confruntat cu mai multe probleme de securitate, numite Common Vulnerabilities and Exposures (CVE).

De exemplu, CVE-2012-2459, ar permite atacatorilor să creeze blocuri nevalide care păreau valide. Între timp, CVE-2018-17144 a permis atacatorilor să creeze Bitcoin-uri suplimentare în afara limitei de aprovizionare fixă a rețelei.

Potrivit lui Poinsot, noua politică va facilita o mai bună comunicare cu privire la riscurile rulării unei versiuni învechite a protocolului de bază Bitcoin.

El a adăugat că punerea acestor erori la dispoziția unui grup mai larg de colaboratori poate „ajuta la prevenirea celor viitoare”.

Politica actualizată a fost lăudată de dezvoltatorul Eric Voskuil, care a scris:

De acum, Poinsot a adăugat că toate vulnerabilitățile remediate în versiunile Bitcoin Core 0.21.0 și anterioare au fost dezvăluite. Dezvăluirile pentru versiunile 0.22.0 și 0.23.0 sunt programate pentru iulie și august.

Noile modificări vor fi „adoptate treptat” în următoarele luni, a adăugat el.