🌋 Розробники Bitcoin Core повідомлятимуть про вразливості
опубліковано 4 лип 2024
Розробник Антуан Пуансо разом із п'ятьма колегами опублікував листа з оголошенням про нову політику інформування користувачів щодо вразливостей і багів в коді Bitcoin Core — ключового інструмента для операторів вузлів у мережі.
Про баги низького рівня повідомлятимуть через 2 тижні після виходу відповідного патчу, про проблеми середнього та високого рівнів — через рік після виходу патчу. Для критичних вразливостей стандартизованого таймлайну не буде взагалі, і розробники плануватимуть свої дії залежно від ситуації.
Пуансо зазначив: до цього команда проєкту недостатньо висвітлювала технічні проблеми, тому серед спільноти поширилась думка, що цей код є мало не ідеальним. Він наголосив, що це не є правдою, до того ж такий міф може зашкодити користувачам.
Група розробників запропонувала стандартизовану процедуру для публікації вразливостей з розділенням на чотири категорії відповідно до ступеня небезпеки:
- низький рівень описуватиме баги, які важко використати для зловмисних дій, наприклад вразливість гаманця, яка потребує прямого доступу до пристрою користувача;
- середній рівень — проблеми з обмеженою загрозою, наприклад шляхи дистанційно спричинити збої у локальній мережі;
- високий рівень означатиме більш суттєві проблеми, наприклад можливість для RCE (remote code execution) — дистанційного запуску шкідливого коду на пристрої жертви;
- критичний рівень приберегли для надважливих багів, які стосуються всієї мережі загалом, наприклад можливості змінити суму загальної пропозиції монет чи безпосередньо викрасти кошти.
Нову політику інформування буде впроваджено поступово протягом наступних кількох місяців.