Een groep Bitcoin Core ontwikkelaars heeft een nieuw beleid ingevoerd om beter om te gaan met de communicatie rondom beveiligingsproblemen. Antoine Poinsot, een van de ontwikkelaars, benadrukt dat de perceptie dat Bitcoin Core vrij van bugs is, gevaarlijk en helaas onjuist is.
Het probleem van onderschatte bugs
Historisch gezien heeft het Bitcoin Core project slecht gepresteerd in het openbaar maken van beveiligings kritische bugs in het crypto nieuws, zowel die extern zijn gerapporteerd als die door bijdragers zijn gevonden.
Poinsot en vijf andere ontwikkelaars hebben begin juli een bericht naar de Bitcoin Development Mailing List gestuurd waarin ze het nieuwe beleid aankondigen.
Dit beleid moet ervoor zorgen dat gebruikers beter geïnformeerd zijn over de risico’s van het gebruik van verouderde versies van Bitcoin Core en dat onderzoekers meer gemotiveerd worden om kwetsbaarheden te vinden en verantwoord te melden.
De nieuwe categorisatie van bugs
Het nieuwe beleid categoriseert kwetsbaarheden in vier niveaus van ernst:
- Laag: Bugs die moeilijk te exploiteren zijn en weinig impact hebben, zoals een crypto wallet bug die toegang tot de machine van het slachtoffer vereist.
- Middel: Bugs met beperkte impact, zoals een lokale netwerkcrash.
- Hoog: Bugs die een significante impact kunnen hebben.
- Kritiek: Bugs die de integriteit van het hele netwerk bedreigen, zoals het manipuleren van Bitcoin Core om de hard-capped voorraad van Bitcoin te verhogen of het stelen van munten.
Bugs in de categorieën laag, middel en hoog zullen twee weken na het uitbrengen van een gefixte versie openbaar worden gemaakt. Voor kritieke bugs zal de openbaarmaking van geval tot geval worden bepaald.
Stapsgewijze invoering van het nieuwe beleid
Het beleid wordt de komende maanden geleidelijk ingevoerd. Poinsot meldde dat alle kwetsbaarheden die zijn opgelost in Bitcoin Core versies 0.21.0 en eerder, per 3 juli openbaar zijn gemaakt.
De releases voor versies 0.22.0 en 0.23.0 zullen later deze maand en in augustus volgen. De nieuwste versie die is aangenomen, is Bitcoin Core versie 27.1.
Reacties uit de Bitcoin community
Het nieuwe beleid is positief ontvangen door andere ontwikkelaars. Eric Voskuil, ook een Bitcoin Core ontwikkelaar, prees de stap:
“Veel andere projecten hebben te maken gehad met deze misperceptie, wat materiële schade aan de gemeenschap heeft veroorzaakt. Ik weet niet wat deze verandering heeft veroorzaakt, maar complimenten aan jullie voor deze stap.”
Dit nieuwe beleid is een belangrijke ontwikkeling voor de veiligheid en transparantie binnen de Bitcoin community. Door betere communicatie en een gestandaardiseerd proces voor het melden van bugs, hoopt het Bitcoin Core team toekomstige kwetsbaarheden te voorkomen en het vertrouwen in het netwerk te versterken.
