Grupa programistów Bitcoin Core uruchomiła politykę ujawniania „krytycznych błędów”, mającą na celu skuteczniejsze komunikowanie luk w zabezpieczeniach Bitcoin.
„Projekt historycznie słabo radził sobie z publicznym ujawnianiem błędów krytycznych dla bezpieczeństwa, niezależnie od tego, czy zostały zgłoszone zewnętrznie, czy znalezione przez autorów” – napisał 3 lipca twórca rdzenia Bitcoin, Antoine Poinsot i pięć innych osób do członków listy mailingowej Bitcoin Development.
Doprowadziło to do sytuacji, w której użytkownicy Bitcoina są przekonani, że Bitcoin Core jest wolny od błędów, ale Poinsot podkreślił, że to po prostu nieprawda.
„To przekonanie jest niebezpieczne i niestety nieprawdziwe”.
Bitcoin Core to oprogramowanie, które operatorzy węzłów Bitcoin pobierają, aby uzyskać dostęp do łańcucha bloków Bitcoin, zatwierdzać transakcje i budować bloki. Odgrywa kluczową rolę w zabezpieczeniu ponad 1,1 biliona dolarów zablokowanych w sieci Bitcoin.
Poinsot powiedział, że nowa polityka umożliwi lepszą komunikację na temat ryzyka związanego z korzystaniem z przestarzałych wersji Bitcoin Core i wprowadzi ujednolicony proces ujawniania luk, który zachęci badaczy do znajdowania i odpowiedzialnego ujawniania luk w zabezpieczeniach.
„Udostępnienie błędów bezpieczeństwa szerszej grupie współpracowników może pomóc zapobiec podobnym problemom w przyszłości”.
Nowa polityka ujawniania informacji będzie klasyfikować luki w oparciu o cztery poziomy powagi.
Pierwsza kategoria, „niska”, obejmuje błędy, które są trudne do wykorzystania i mają niewielki wpływ — na przykład błąd portfela, który wymaga dostępu do komputera ofiary.
Druga kategoria, „średnia”, obejmuje błędy o ograniczonym wpływie, takie jak awaria sieci lokalnej.
Dwie ostatnie kategorie obejmują błędy o „wysokiej” wadze, które mogą mieć znaczący wpływ, natomiast waga „krytyczna” to błędy, które zagrażają integralności całej sieci.
Przykładem krytycznego błędu może być manipulacja Bitcoin Core w celu zawyżenia limitowanej podaży Bitcoinów lub dokonanie „kradzieży monet”.
Błędy o niewielkim, średnim i dużym natężeniu będą ujawniane dwa tygodnie po wydaniu poprawionej wersji, natomiast błędy krytyczne będą ujawniane indywidualnie.
Powiązane: Zwolennicy ordinalsów Bitcoin powinni domagać się nowego forka Bitcoin
Jak dodał Poinsot, polityka ta będzie „stopniowo wdrażana” w nadchodzących miesiącach.
Poinsot zauważył, że wszystkie luki w zabezpieczeniach naprawione w wersjach Bitcoin Core 0.21.0 i wcześniejszych zostały ujawnione do 3 lipca, a informacje dotyczące wersji 0.22.0 i 0.23.0 zostaną opublikowane pod koniec tego miesiąca oraz w sierpniu.
Bitcoin Core w wersji 27.1 jest najnowszą przyjętą wersją.
Nowa polityka została pochwalona przez innego programistę Bitcoin Core, Erica Voskuila:
„Wiele innych projektów padło ofiarą tego błędnego postrzegania i faktycznie wyrządziło to społeczności materialną szkodę. Nie wiem, co spowodowało tę zmianę, ale brawa dla was wszystkich za podjęcie działań”.
Magazyn: „Warstwa 2 Bitcoina” wcale nie jest tak naprawdę warstwą L2: Oto dlaczego to ma znaczenie