Les développeurs Bitcoin Core mettent en œuvre une nouvelle politique de divulgation de sécurité

Les développeurs de Bitcoin Core ont mis en œuvre une nouvelle politique de divulgation de sécurité. La politique établira des mesures de reporting standardisées pour signaler les vulnérabilités.

Les développeurs de Bitcoin Core ont dévoilé une nouvelle politique de divulgation de sécurité qui normalisera le reporting des vulnérabilités. La politique vise à améliorer la transparence et à lutter contre l'idée fausse répandue selon laquelle Bitcoin Core est exempt de bogues.

Les développeurs, dont Antoine Poinsot, ont souligné dans un e-mail que Bitcoin Core a toujours manqué de divulguer publiquement les bogues critiques pour la sécurité. Cela a conduit à l'idée fausse parmi les utilisateurs de Bitcoin que Core est sans bug, une perception que Poinsot a décrite comme « inexacte » et « dangereuse ».

Les divulgations de sécurité impliquent généralement des chercheurs ou des développeurs externes signalant des vulnérabilités dans un système à l'organisation concernée. similaire aux programmes de bug bounty. Le processus implique généralement de découvrir une vulnérabilité, de la signaler de manière confidentielle, de la faire vérifier, puis de la divulguer publiquement en fonction des détails.

Dans le cadre de la nouvelle politique, les vulnérabilités du réseau seront classées en fonction de leur gravité.

Trois catégories principales de vulnérabilités

Les bogues de faible gravité, qui ont un impact minimal sur le réseau, seront divulgués après la publication d'un correctif. Un exemple d'un tel bug serait un bug de portefeuille qui nécessite un accès physique à un système.

Les bugs de gravité moyenne à élevée seront divulgués un an après la fin de vie (EOL) de la dernière version concernée. Ces bogues incluent ceux ayant un impact limité, tels que les pannes à distance du réseau local.

Les bogues critiques qui présentent des risques importants pour le réseau seront traités via des procédures ad hoc en raison de leur gravité. Ces bogues menacent généralement l'intégrité du réseau.

Au fil des années, le réseau Bitcoin a connu plusieurs problèmes de sécurité, auxquels sont attribués des vulnérabilités et expositions communes (CVE).

Par exemple, CVE-2012-2459 permettrait aux attaquants de créer des blocs invalides. qui semblait valide. Pendant ce temps, CVE-2018-17144 a permis aux attaquants de créer des Bitcoins supplémentaires en dehors du plafond d'approvisionnement fixe du réseau.

Selon Poinsot, la nouvelle politique aidera également à mieux communiquer les risques liés à l'exécution d'une version obsolète du protocole Bitcoin Core.

Il a ajouté que faire connaître ces bugs à l'ensemble des contributeurs plus larges peut « aider à prévenir de futurs bugs ».

La politique mise à jour a été accueillie avec appréciation, le développeur Eric Voskuil écrivant :

De nombreux autres projets ont été la cible de cette perception erronée […] Je ne sais pas ce qui a précipité ce changement, mais bravo à vous tous pour avoir intensifié vos efforts.

Actuellement, a ajouté Poinsot, toutes les vulnérabilités corrigées dans les versions 0.21.0 et antérieures de Bitcoin Core ont été divulguées. Les divulgations des versions 0.22.0 et 0.23.0 sont attendues en juillet et août.

Les nouveaux changements seront « progressivement adoptés » dans les mois à venir, a-t-il noté.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!