🌋 Разработчики Bitcoin Core будут сообщать об уязвимостях протокола
опубликовано 4 июл 2024
Разработчик Антуан Пуансо вместе с пятью коллегами опубликовал письмо с объявлением о новой политике информирования пользователей относительно уязвимостей и багов в коде Bitcoin Core — ключевого инструмента для операторов узлов в сети.
О багах низкого уровня будут сообщать через 2 недели после выхода соответствующего патча, о проблемах среднего и высокого уровней — через год после выхода патча. Для критических уязвимостей стандартизированного таймлайна не будет вообще, и разработчики будут планировать свои действия в зависимости от ситуации.
Пуансо отметил: до этого команда проекта недостаточно освещала технические проблемы, поэтому среди сообщества распространилось мнение, что этот код чуть ли не идеален. Он подчеркнул, что это не является правдой, к тому же подобный миф может навредить пользователям.
Группа разработчиков предложила стандартизированную процедуру для публикации уязвимостей с разделением на четыре категории в соответствии со степенью опасности:
- низкий уровень будет описывать баги, которые трудно использовать для злонамеренных действий, например уязвимость кошелька, требующая прямого доступа к устройству пользователя;
- средний уровень — проблемы с ограниченной угрозой, например пути для дистанционного вызова сбоев в локальной сети;
- высокий уровень будет означать более существенные проблемы, например возможность для RCE (remote code execution) — удаленного запуска вредоносного кода на устройстве жертвы;
- критический уровень приберегли для сверхважных багов, которые касаются всей сети в целом, например возможности изменить количество общего предложения монет или напрямую похитить средства.
Новая политика информирования будет внедрена постепенно в течение следующих нескольких месяцев.