Le Fediverse, également connu sous le nom de Internet social ouvert qui comprend Mastodon, les threads de Meta, Pixelded et d’autres purposes, augmente sa sécurité. Mercredi, un organisme à however non lucratif s’est concentré sur la gouvernance des projets open supply, le Fondation Nivenly, annoncé Le lancement d’un nouveau fonds de sécurité qui paiera ceux qui divulgueront de manière responsable les vulnérabilités de sécurité qui affectent les purposes et companies Fediverse.
Bien que tous les logiciels puissent avoir des problèmes de sécurité, Mastodon – une different open supply et décentralisée à X – a fixe de nombreux bugs au fil des ansconduisant à la nécessité d’un tel programme. Un autre problème trouvé dans le Fediverse est que de nombreux serveurs sont gérés par des opérateurs indépendants qui n’ont pas nécessairement de formation en sécurité ou ne comprennent pas les meilleures pratiques.
Déjà, la Fondation Nivenly a aidé quelques projets Fediverse à mettre en place leur processus de rapport de base de la vulnérabilité de sécurité, et maintenant il cherche à distribuer de petits paiements à toute personne qui révèle de manière responsable d’autres vulnérabilités de sécurité qui pourraient encore être à l’état sauvage.
Les paiements totaliseront 250 $ pour les vulnérabilités avec un rating de gravité de la vulnérabilité (connu sous le nom de CVSS) de 7,0 à 8,9 et 500 $ pour des vulnérabilités plus critiques avec un rating CVSS de 9,0 ou plus. Les fonds pour les paiements proviennent de la fondation, qui est soutenue directement par membres Cela comprend des individus ainsi que d’autres organisations commerciales.
Les vulnérabilités elles-mêmes sont validées par l’acceptation des leads du projet Fediverse ainsi que les bases de données publiques dans les bases de divulgation de vulnérabilité (CVE).
Le fonds est actuellement en procès limité après la découverte d’un vulnérabilité de sécurité Dans l’different Instagram décentralisée, Pixelled. Contributeur open supply Emelia Smith est tombé sur le problèmeEt la fondation nivenue l’a payée pour le réparer, explique-t-elle.
Un plus récent problème est venu quand le créateur de Pixelded, Daniel Supernault a rendu les détails d’une vulnérabilité publique avant que les opérateurs de serveurs aient eu la possibilité de mettre à jour, ce qui aurait laissé le Fediverse vulnérable aux mauvais acteurs, dit-elle. (Supernault a déjà s’excusés publiquement pour sa gestion de la query qui avait affecté les comptes privés.)
«Une partie du programme est… l’éducation des pistes de projet, les aidant à comprendre pourquoi les pratiques de divulgation responsables pour les vulnérabilités de sécurité sont importantes», a déclaré Smith à TechCrunch. « Nous sommes tombés sur plusieurs projets qui viennent de dire » des vulnérabilités de sécurité dans notre suivi des numéros publics « , qui n’est absolument pas sûr, automotive tout acteur malveillant qui regarde ce référentiel serait désormais en mesure d’attaquer les cas de ce logiciel », a-t-elle ajouté.
En règle générale, la pratique courante consiste à divulguer des informations minimales sur une vulnérabilité, donnant aux opérateurs de serveurs le temps de mettre à niveau, a déclaré Smith. Cependant, cela nécessite que les cooks de file du projet comprennent les meilleures pratiques de sécurité.
Dans le cas du problème Pixelded, par exemple, le Serveur Hachyderm Mastodonqui compte plus de 9 500 membres, a décidé qu’il fallait déléger (ou déconnecter) d’autres serveurs pixellés qui n’avaient pas été mis à jour afin de protéger leurs utilisateurs.
Avec ce nouveau programme conçu pour suivre les meilleures pratiques concernant la divulgation des vulnérabilités, la nécessité de se dédéder pour protéger les utilisateurs peut devenir moins courante.
