一群比特币核心开发者推出了一项 "关键漏洞 "披露政策,旨在更有效地传播比特币安全漏洞。
"比特币核心开发者安托万-波因索特(Antoine Poinsot)和其他五人于7月3日致信比特币开发邮件列表(Bitcoin Development Mailing List)成员,称:"该项目在公开披露安全关键漏洞方面一直做得很差,无论是外部报告的还是贡献者发现的。
这导致比特币用户误以为比特币核心没有漏洞,但Poinsot强调事实并非如此。
"这种看法很危险,而且不幸的是,并不准确。"
比特币核心是比特币节点操作员下载的软件,用于访问比特币区块链、验证交易和构建区块。它在确保比特币网络中锁定的超过1.1万亿美元的安全方面发挥着至关重要的作用。
Poinsot说,新政策将使人们能够更好地交流运行过时版本比特币核心的风险,并将提供一个标准化的披露流程,使研究人员更有动力发现并负责任地披露漏洞。
"将安全漏洞提供给更广泛的贡献者群体,有助于防止未来出现安全漏洞"。
新的披露政策将根据四个严重程度对漏洞进行分类。
第一类是 "低级",即难以利用、影响较小的漏洞--比如需要访问受害者机器的钱包漏洞。
第二类 "中 "是影响有限的漏洞,如本地网络远程崩溃。
最后两类包括严重性 "高 "的漏洞,可能产生重大影响,而严重性 "危 "的漏洞则威胁到整个网络的完整性。
举例来说,严重漏洞可能涉及操纵 Bitcoin Core 来抬高比特币的硬上限供应量或实施 "盗币 "行为。
低度、中度和高度漏洞将争取在修复版本发布两周后披露,而关键漏洞的披露将视具体情况而定。
Poinsot 补充说,这一政策将在未来几个月内 "逐步采用"。
Poinsot指出,截至7月3日,比特币核心0.21.0及更早版本中修复的所有漏洞都已披露,0.22.0和0.23.0版本的漏洞披露将在本月晚些时候和8月份发布。
比特币核心 27.1 版是最新采用的版本。
新政策得到了同为比特币核心开发者的埃里克-沃斯奎尔(Eric Voskuil)的称赞:
"许多其他项目都受到了这种误解的影响,事实上这对社区造成了实质性的伤害。我不知道是什么促成了这一改变,但为你们的挺身而出点赞。"