Fediverse, также известная как открытая социальная сеть, которая включает в себя Mastodon, Meta's Threads, Pixelfed и другие приложения, повышает свою безопасность. В среду некоммерческая организация, сосредоточенная на том, чтобы привлечь управление для проектов с открытым исходным кодом, фонд Nivenly, объявила о запуске нового фонда безопасности, который будет платить тем, кто ответственно раскрывает уязвимости безопасности, которые затрагивают приложения и услуги Fediverse.
В то время как все программное обеспечение может иметь проблемы с безопасностью, Mastodon — открытый исходный код и децентрализованная альтернатива X — за эти годы исправила множество ошибок, что приводит к необходимости такой программы. Другая проблема, обнаруженная в Fediverse, заключается в том, что многие серверы управляются независимыми операторами, которые не обязательно имеют опыт безопасности или понимают лучшие практики.
Уже фонд Nivenly помог нескольким проектам Fediverse создать свой процесс отчетности по базовым уязвимости безопасности, и теперь он стремится распространять небольшие выплаты всем, кто ответственно раскрывает другие уязвимости безопасности, которые все еще могут быть в дикой природе.
Выплаты составляют 250 долларов США за уязвимости с оценкой тяжести уязвимости (известный как CVSS) 7,0-8,9 и 500 долл. США за более важные уязвимости с баллом CVSS 9,0 или более. Средства на выплаты поступают от фонда, который поддерживается непосредственно членами, которые включают отдельных лиц, а также другие торговые организации.
Сами уязвимости подтверждаются принятием от руководителей проекта Fediverse, а также публичных записей в базах данных раскрытия уязвимости (CVE).
Фонд в настоящее время находится в ограниченном испытании после обнаружения уязвимости безопасности в децентрализованной альтернативе Instagram, Pixelfed. По ее словам, участника с открытым исходным кодом Эмелия Смит натолкнулась на эту проблему, и Фонд Nivenly заплатил ей, чтобы исправить ее.
Более недавняя проблема возникла, когда создатель Pixelfed, Даниэль Суперна, подробно рассказал об уязвимости, прежде чем у операторов сервера появилась возможность обновить, что оставило бы Fediverse уязвимой для плохих актеров, говорит она. (Суперна уже публично извинилась за свою проблему, которая повлияла на частные счета.)
«Часть программы — это… образование для руководителей проекта, помогая им понять, почему ответственная практика раскрытия информации для уязвимостей безопасности важна», — сказал Смит TechCrunch. «Мы наткнулись на несколько проектов, которые только что сказали« уязвимости безопасности в нашем общественном трекере », которые абсолютно небезопасны, поскольку любой вредоносный актер, наблюдающий за этим репозиторием, теперь сможет атаковать экземпляры этого программного обеспечения», — добавила она.
Как правило, обычная практика состоит в том, чтобы раскрыть минимальную информацию об уязвимости, предоставляя операторам сервера время обновления, сказал Смит. Тем не менее, это требует, чтобы проект руководил лучшими практиками безопасности.
Например, в случае выпуска Pixelfed, сервер Hachyderm Mastodon, который насчитывает более 9500 участников, решил, что необходимо определить (или отключить) другие пиксельные серверы, которые не были обновлены, чтобы защитить своих пользователей.
Благодаря этой новой программе, предназначенной для того, чтобы следовать передовым практикам, связанного с раскрытием уязвимостей, необходимость дефицита для защиты пользователей может стать менее распространенной.
