ビットコインコア開発者が新しいセキュリティ開示ポリシーを導入

ビットコインコア開発者は、新しいセキュリティ開示ポリシーを実装しました。このポリシーは、脆弱性を報告するための標準化された報告手段を確立します。

ビットコインコア開発者は、脆弱性の報告を標準化する新しいセキュリティ開示ポリシーを発表しました。このポリシーは、透明性を向上させ、ビットコイン コアにはバグがないという一般的な誤解に対処することを目的としています。

アントワーヌ ポアンソを含む開発者は、ビットコイン コアにはこれまでセキュリティ クリティカルなバグを公に公開することが欠けていたと電子メールで強調しました。このため、ビットコイン ユーザーの間で、Core にはバグがないという誤解が生じており、ポインソ氏はこの認識を「不正確」で「危険」であると表現しました。

セキュリティ開示には通常、外部の研究者または開発者がシステムの脆弱性を影響を受ける組織に報告することが含まれます。バグ報奨金プログラムに似ています。このプロセスには通常、脆弱性の発見、機密報告、脆弱性の検証、そして詳細に沿った公開が含まれます。

新しいポリシーの一環として、ネットワーク内の脆弱性は重大度に基づいて分類されます。

脆弱性は主に 3 つに分類されます

ネットワークへの影響が最小限である重大度の低いバグは、修正がリリースされた後に公開されます。このようなバグの例としては、システムへの物理的なアクセスを必要とするウォレットのバグがあります。

中程度から高重大度のバグは、影響を受ける最後のリリースがサポート終了 (EOL) になってから 1 年後に公開されます。これらのバグには、ローカル ネットワークのリモート クラッシュなど、影響が限定的なものも含まれます。

ネットワークに重大なリスクをもたらす重大なバグは、その深刻な性質のため、アドホックな手順で処理されます。これらのバグは通常、ネットワークの整合性を脅かします。

長年にわたり、ビットコイン ネットワークでは、共通脆弱性および暴露 (CVE) が割り当てられているいくつかのセキュリティ問題が発生しています。

たとえば、CVE-2012-2459 により、攻撃者は無効なブロックを作成できます。それは有効であるように見えました。一方、CVE-2018-17144 により、攻撃者はネットワークの固定供給上限を超えて追加のビットコインを作成することができました。

ポインソ氏によると、新しいポリシーは、古いバージョンのビットコイン コア プロトコルを実行するリスクをより適切に伝えるのにも役立ちます。

彼は、これらのバグをより広範な寄稿者に知らせることが「将来のバグを防ぐのに役立つ」と付け加えました。

開発者の Eric Voskuil は次のように書いており、更新されたポリシーは高く評価されています:

他の多くのプロジェクトが受け入れられています。この誤解 […] 何がこの変化を引き起こしたのかはわかりませんが、皆さんがステップアップすることを応援しています。

現在、Bitcoin Core バージョン 0.21.0 以前で修正されたすべての脆弱性が公開されているとポアンソ氏は付け加えました。バージョン 0.22.0 と 0.23.0 の公開は 7 月と 8 月に予定されています

新しい変更は今後数か月以内に「徐々に採用される」だろうと彼は述べました。

以上がビットコインコア開発者が新しいセキュリティ開示ポリシーを導入の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。