比特幣核心開發人員實施新的安全揭露政策

比特幣核心開發人員實施了新的安全揭露政策。該政策將為報告漏洞建立標準化的報告措施。

比特幣核心開發人員公佈了一項新的安全揭露政策，該政策將標準化漏洞的報告。該政策旨在提高透明度，並消除人們對比特幣核心沒有錯誤的普遍誤解。

包括 Antoine Poinsot 在內的開發者在一封電子郵件中強調，比特幣核心歷來缺乏公開披露安全關鍵錯誤的行為。這導致比特幣用戶誤認為 Core 沒有錯誤，Poinsot 稱這種看法「不準確」且「危險」。

安全揭露通常涉及外部研究人員或開發人員向受影響的組織報告系統中的漏洞，類似於錯誤賞金計畫。該過程通常需要發現漏洞、秘密報告、驗證漏洞，然後根據詳細資訊公開披露。

作為新政策的一部分，網路中的漏洞將根據其嚴重程度進行分類。

漏洞主要分為三大類

低嚴重性錯誤，對網路影響最小，將在發布修復後公開。此類錯誤的一個例子是需要實體存取系統的錢包錯誤。

中度到高嚴重性的錯誤將在最後一個受影響的版本生命週期終止 (EOL) 一年後披露。這些錯誤包括那些影響有限的錯誤，例如本地網路遠端崩潰。

對網路構成重大風險的關鍵錯誤由於其嚴重性將透過臨時程序進行處理。這些錯誤通常會威脅網路完整性。

多年來，比特幣網路已經出現了多個安全問題，這些問題被分配了常見漏洞和暴露（CVE）。

例如，CVE-2012-2459 將允許攻擊者創建無效塊這似乎是有效的。同時，CVE-2018-17144 允許攻擊者在網路固定供應上限之外創建額外的比特幣。

根據 Poinsot 的說法，新政策也將有助於更好地傳達運行過時版本的比特幣核心協議的風險。

他補充說，讓更廣泛的貢獻者群體了解這些錯誤可以「有助於防止未來出現錯誤。」

更新後的政策受到了讚賞，開發人員Eric Voskuil 寫道：

許多其他項目已成為接收端這種誤解[…]我不知道是什麼促成了這一變化，但支持你們所有人加緊努力。

Poinsot 補充說，目前，比特幣核心版本 0.21.0 及更早版本中修復的所有漏洞都已被披露。預計將於 7​​ 月和 8 月披露 0.22.0 和 0.23.0 版本。

他指出，新的變更將在未來幾個月內「逐步採用」。

以上是比特幣核心開發人員實施新的安全揭露政策的詳細內容。更多資訊請關注PHP中文網其他相關文章！