O Fediversetambém conhecido como a web social aberta que inclui MastodonteMeta’s TópicosAssim, Pixeldede outros aplicativos estão aumentando sua segurança. Na quarta -feira, uma organização sem fins lucrativos focada em trazer a governança para projetos de código aberto, o Nivenly FoundationAssim, anunciado O lançamento de um novo fundo de segurança que pagará aqueles que divulgarão responsabilidade vulnerabilidades de segurança que afetam os aplicativos e serviços do Fediverse.
Embora todo o software possa ter problemas de segurança, o Mastodon – um código aberto e uma alternativa descentralizada a X – corrigiu numerosos insetos ao longo dos anoslevando à necessidade de esse programa. Outra questão encontrada no Fediverse é que muitos servidores são executados por operadores independentes que não têm necessariamente um histórico de segurança ou entendem as melhores práticas.
A Fundação Nivenly já ajudou alguns projetos do Fediverse a criar seu processo básico de relatório de vulnerabilidades de segurança, e agora está procurando distribuir pequenos pagamentos a qualquer pessoa que divulgue com responsabilidade outras vulnerabilidades de segurança que ainda podem estar na natureza.
Os pagamentos totalizarão US $ 250 por vulnerabilidades com uma pontuação de gravidade de vulnerabilidade (conhecida como CVSS) de 7,0-8,9 e US $ 500 para vulnerabilidades mais críticas com uma pontuação CVSS de 9,0 ou mais. Os fundos para os pagamentos vêm da fundação, que é suportada diretamente por membros Isso inclui indivíduos e outras organizações comerciais.
As próprias vulnerabilidades são validadas pela aceitação dos leads do Projeto Fediverse, bem como por registros públicos em bancos de dados de divulgação de vulnerabilidades (CVE).
O fundo está atualmente em um julgamento limitado após a descoberta de um Vulnerabilidade de segurança no Alternativa descentralizada do InstagramAssim, Pixelded. Colaborador de código aberto Emelia Smith me deparou com o emitire a Fundação Nivenly a pagou para consertá -la, ela explica.
Um mais recente emitir surgiu quando o criador de Pixelfed, Daniel Supernault fez os detalhes de um público de vulnerabilidade antes que os operadores do servidor tivessem a chance de atualizar, o que deixaria o Fediverse vulnerável a maus atores, diz ela. (SUPERNAULT já tem pediu desculpas publicamente por seu manuseio da questão que afetou as contas privadas.)
“Parte do programa é … a educação para os líderes do projeto, ajudando -os a entender por que as práticas de divulgação responsáveis para vulnerabilidades de segurança são importantes”, disse Smith ao TechCrunch. “Encontramos vários projetos que acabaram de dizer ‘vulnerabilidades de segurança de arquivos em nosso rastreador de questões públicas’, que absolutamente não é seguro, pois qualquer ator malicioso que assistia a esse repositório agora seria capaz de atacar instâncias desse software”, acrescentou.
Normalmente, a prática comum é divulgar informações mínimas sobre uma vulnerabilidade, dando aos operadores do servidor tempo para atualizar, disse Smith. No entanto, isso exige que os leads do projeto entendam as melhores práticas de segurança.
No caso da questão pixada, por exemplo, o Servidor Hachyderm Mastodonque possui mais de 9.500 membros, decidiu que precisava desfigurar (ou se desconectar de) outros servidores com pixelas que não haviam sido atualizados para proteger seus usuários.
Com este novo programa projetado para seguir as melhores práticas em torno da divulgação de vulnerabilidades, a necessidade de desfigurar para proteger os usuários pode se tornar menos comum.
