Invezz

Bitcoin Core-utvecklare implementerar ny policy för avslöjande av fel

Bitcoin Core-utvecklare implementerar ny policy för avslöjande av fel
Rony Roy
04 juli 2024, 09:35 FM
  • Policyn introducerar standardprocedurer för rapportering och kategorisering av sårbarheter baserat på svårighetsgrad.
  • Det syftar till att rätta till missuppfattningen att Bitcoin Core är fri från buggar.
  • Den nya informationspolicyn kommer att antas successivt.

Bitcoin Core-utvecklare har implementerat en ny policy för säkerhetsavslöjande. Policyn kommer att fastställa standardiserade rapporteringsåtgärder för rapportering av sårbarheter.

Bitcoin Core är en programvara för Bitcoin-nodoperatörer som används för att validera transaktioner och bygga block. Applikationen spelar en avgörande roll för att säkra Bitcoin-blockkedjan.

Mer transparens

Antoine Poinsot, en Bitcoin kärnutvecklare, tillsammans med fem andra, noterade i ett e-postmeddelande att Bitcoin Core "historiskt har gjort ett dåligt jobb med att offentligt avslöja säkerhetskritiska buggar."

Detta skapar en missuppfattning bland Bitcoin-användare att Bitcoin Core är fri från buggar. Utvecklarna tror dock att det inte är fallet och denna "uppfattning" är felaktig och "farlig".

Säkerhetsavslöjande är den process genom vilken utvecklare och externa forskare rapporterar kryphål i ett system till den berörda organisationen. Detta begrepp är ganska likt bug-bounty-program.

Avslöjandeprocessen innefattar vanligtvis att upptäcka en sårbarhet, konfidentiellt rapportera den, verifiera sårbarheten och sedan avslöja den offentligt i linje med detaljerna.

Som en del av den nya policyn kategoriseras sårbarheter i nätverket utifrån deras svårighetsgrad.

Tre huvudkategorier för sårbarheter

Buggar med låg allvarlighetsgrad inkluderar de som har minimal inverkan på nätverket. Dessa buggar måste avslöjas efter att en fix har släppts. Till exempel skulle ett plånboksfel som kräver fysisk åtkomst till ett system kategoriseras under detta.

Medel till hög svårighetsgrad av buggar skulle avslöjas ett år efter att den senaste påverkade utgåvan går ut av livet (EOL). Dessa skulle bestå av buggar med begränsad påverkan, såsom lokala nätverkskrascher.

Slutligen skulle kritiska buggar som utgör betydande risker för nätverket hanteras via ad-hoc-procedurer på grund av deras allvarliga karaktär. Dessa buggar tenderar att hota nätverkets integritet.

Under åren har Bitcoin-nätverket upplevt flera säkerhetsproblem, kallade Common Vulnerabilities and Exposures (CVEs).

Till exempel skulle CVE-2012-2459 tillåta angripare att skapa ogiltiga block som såg giltiga ut. Samtidigt tillät CVE-2018-17144 angripare att skapa ytterligare Bitcoins utanför nätverkets fasta utbudstak.

Enligt Poinsot kommer den nya policyn att underlätta bättre kommunikation om riskerna med att köra en föråldrad version av Bitcoins kärnprotokoll.

Han tillade att att göra dessa buggar tillgängliga för den bredare gruppen av bidragsgivare kan "hjälpa till att förhindra framtida sådana."

Den uppdaterade policyn har hyllats av utvecklaren Eric Voskuil, som skrev:

Från och med nu tillade Poinsot att alla sårbarheter fixade i Bitcoin Core-versionerna 0.21.0 och tidigare har avslöjats. Upplysningar för versionerna 0.22.0 och 0.23.0 är planerade för juli och augusti.

De nya ändringarna kommer att "gradvis antas" under de kommande månaderna, tillade han.