" Группа разработчиков Bitcoin Core запустила политику раскрытия «критических ошибок», направленную на более эффективное информирование об уязвимостях безопасности Биткоин.
«Проект исторически плохо справлялся с публичным раскрытием критических для безопасности ошибок, независимо от того, сообщалось ли они извне или были обнаружены участниками», — написали 3 июля разработчик Bitcoin Core Антуан Пуансо и еще пять человек членам списка рассылки разработчиков Биткоина.
Это привело к ситуации, когда пользователей Биткоина заставляют поверить, что в Bitcoin Core нет ошибок, но Пойнсо подчеркнул, что это не так.
«Это мнение опасно и, к сожалению, неверно», — заявил он.
Bitcoin Core — это программное обеспечение, которое загружают операторы узлов Биткоин для доступа к блокчейну Биткоин, проверки транзакций и создания блоков. Он играет решающую роль в обеспечении безопасности более 1,1 триллиона долларов США, заблокированных в сети Биткоин.
Источник: Антуан Пуансо.
Пуансо заявил, что новая политика позволит лучше информировать о рисках использования устаревших версий Bitcoin Core и обеспечит стандартизированный процесс раскрытия информации, который даст исследователям больше стимулов для поиска и ответственного раскрытия уязвимостей.
«Представление об ошибках безопасности более широкой группе участников может помочь предотвратить их появление в будущем», — пояснил разработчик.
Новая политика раскрытия информации будет классифицировать уязвимости по четырем уровням серьезности.
Первая категория, «низкая», включает в себя ошибки, которые трудно использовать и которые имеют незначительное влияние, например, ошибка кошелька, требующая доступа к машине жертвы.
Вторая категория, «средняя», — это ошибки с ограниченным воздействием, такие как удаленный сбой в локальной сети.
Последние две категории включают ошибки «высокой» серьезности, которые могут оказать существенное влияние, а «критической» серьезности — те, которые угрожают целостности всей сети.
Примером критической ошибки может быть манипулирование Bitcoin Core с целью увеличения жестко ограниченного запаса Биткоина или совершение «кражи монет».
Об ошибках низкой, средней и высокой степени будет сообщаться через две недели после выпуска исправленной версии, а раскрытие критических ошибок будет определяться в каждом конкретном случае.
Эта политика будет «постепенно принята» в ближайшие месяцы, добавил Пуансо.
Он добавил, что все уязвимости, исправленные в версиях Bitcoin Core 0.21.0 и более ранних версиях, были раскрыты по состоянию на 3 июля, а раскрытия для версий 0.22.0 и 0.23.0 будут опубликованы позже в этом месяце и в августе.
Bitcoin Core версии 27.1 является последней принятой версией.
Новая политика получила похвалу от коллеги-разработчика Bitcoin Core Эрика Воскуила:
«Многие другие проекты подверглись этому неправильному восприятию, и оно фактически причинило материальный ущерб сообществу. Я не знаю, что ускорило это изменение, но я благодарю вас всех за то, что вы активизировались».
