Bitcoin Core izstrādātāju grupa ir ieviesusi visaptverošu drošības informācijas atklāšanas politiku, lai novērstu iepriekšējās nepilnības drošībai kritisko kļūdu publicēšanā.
Šīs jaunās politikas mērķis ir izveidot standartizētu procesu ziņošanai un ievainojamību atklāšanai, tādējādi uzlabojot Bitcoin ekosistēmas pārredzamību un drošību.
Paziņojumā ir iekļautas arī vairākas iepriekš neizpaustas ievainojamības.
Kas ir drošības informācijas atklāšana?
Drošības informācijas atklāšana ir process, kurā drošības pētnieki vai ētikas hakeri ziņo ietekmētajai organizācijai par programmatūras vai sistēmu ievainojamībām. Mērķis ir ļaut organizācijai novērst šīs ievainojamības, pirms tās var izmantot ļaunprātīgi dalībnieki. Šis process parasti ietver ievainojamības atklāšanu, konfidenciālu ziņošanu par to, tās esamības pārbaudi, labojuma izstrādi un, visbeidzot, ievainojamības publisku izpaušanu, kā arī detalizētu informāciju un ieteikumus tās mazināšanai.
Vai lietotājiem būtu jāuztraucas?
Jaunākā Bitcoin Core drošības informācija attiecas uz dažādām ievainojamībām ar dažāda smaguma pakāpi. Galvenās problēmas ietver vairākas pakalpojuma atteikuma (DoS) ievainojamības, kas var izraisīt pakalpojuma traucējumus, attālās koda izpildes (RCE) nepilnības miniUPnPc bibliotēkā, darījumu apstrādes kļūdas, kas var izraisīt cenzūru vai nepareizu bezsaimnieka darījumu pārvaldību, un tīkla ievainojamības, piemēram, kā bufera uzpūšanās un laikspiedola pārpilde, kas noved pie tīkla sadalīšanas.
Pašlaik netiek uzskatīts, ka neviena no šīm ievainojamībām rada kritisku risku Bitcoin tīklam. Neatkarīgi no tā, lietotāji tiek stingri mudināti nodrošināt, ka viņu programmatūra ir atjaunināta.
Lai iegūtu detalizētu informāciju, skatiet GitHub saistības: Bitcoin Core Security Disclosures.
Izpaušanas procesa uzlabošana
Bitcoin Core jaunā politika ievainojamības iedala četros smaguma līmeņos: zems, vidējs, augsts un kritisks.
Zema smaguma pakāpe: kļūdas, kuras ir grūti izmantot vai kurām ir minimāla ietekme. Tie tiks atklāti divas nedēļas pēc labojuma izlaišanas.
Vidēja un augsta smaguma pakāpe: kļūdas ar ievērojamu ietekmi vai mēreni viegli lietojamas. Tie tiks atklāti gadu pēc tam, kad būs beidzies pēdējais ietekmētais laidiens (EOL).
Kritiskā nopietnība: kļūdas, kas apdraud visa tīkla integritāti, piemēram, inflācijas vai monētu zādzību ievainojamības, tiks apstrādātas ar ad hoc procedūrām to nopietnā rakstura dēļ.
Šīs politikas mērķis ir nodrošināt konsekventu izsekošanu un standartizētus informācijas atklāšanas procesus, veicinot atbildīgu ziņošanu un ļaujot sabiedrībai nekavējoties risināt problēmas.
CVE atklāšanas vēsture Bitcoin
Bitcoin gadu gaitā ir piedzīvojis vairākas ievērojamas drošības problēmas, kas pazīstamas kā CVE (Common Vulnerabilities and Exposures). Šie incidenti uzsver modras drošības prakses un savlaicīgas atjaunināšanas nozīmi. Šeit ir daži galvenie piemēri:
CVE-2012-2459: šī kritiskā kļūda var izraisīt tīkla problēmas, ļaujot uzbrucējiem izveidot nederīgus blokus, kas izskatījās derīgi, iespējams, īslaicīgi sadalot Bitcoin tīklu. Tas tika labots Bitcoin Core versijā 0.6.1 un motivēja turpmākus uzlabojumus Bitcoin drošības protokolos.
CVE-2018-17144: kritiska kļūda, kas varēja ļaut uzbrucējiem izveidot papildu Bitcoins, pārkāpjot fiksētās piegādes principu. Šī problēma tika atklāta un novērsta 2018. gada septembrī. Lietotājiem bija jāatjaunina programmatūra, lai izvairītos no iespējamās izmantošanas.
Turklāt Bitcoin kopiena ir apspriedusi dažādas citas ievainojamības un iespējamos labojumus, kas vēl nav ieviesti.
CVE-2013-2292: izveidojot blokus, kuru pārbaude prasa ļoti ilgu laiku, uzbrucējs var ievērojami palēnināt tīkla darbību.
CVE-2017-12842: šī ievainojamība var mānīt vieglos Bitcoin maciņus, liekot tiem domāt, ka viņi ir saņēmuši maksājumu, kad to nebija saņēmuši. Tas ir riskanti SPV (vienkāršotās maksājumu pārbaudes) klientiem.
Saruna par šīm ievainojamībām uzsver pastāvīgo vajadzību pēc koordinētiem un kopienas atbalstītiem Bitcoin protokola atjauninājumiem. Pastāvīgie pētījumi par ideju par konsensa tīrīšanas mīksto dakšu cenšas vienotā un efektīvā veidā novērst latentās ievainojamības, nodrošinot nepārtrauktu Bitcoin tīkla robustumu un drošību.
Programmatūras drošības uzturēšana ir dinamisks process, kas prasa pastāvīgu modrību un atjauninājumus. Tas krustojas ar plašākām debatēm par Bitcoin pārkaulošanos, kur galvenais protokols paliek nemainīgs, lai saglabātu stabilitāti un uzticību. Lai gan daži atbalsta minimālas izmaiņas, lai izvairītos no riska, citi apgalvo, ka ir nepieciešami neregulāri atjauninājumi, lai uzlabotu drošību un funkcionalitāti.
Šī jaunā Bitcoin Core informācijas atklāšanas politika ir solis ceļā uz šo perspektīvu līdzsvarošanu, nodrošinot, ka visi nepieciešamie atjauninājumi ir labi paziņoti un pārvaldīti atbildīgi.
Avots: Bitcoin Magazine
Post Bitcoin Core paziņo par jaunu drošības izpaušanas politiku appeared first on Crypto Breaking News.