Федиверс, также известный как открытая социальная сеть, которая включает в себя Mastodon, Threads от Meta, Pixelfed и другие приложения, усиливает свою безопасность. В среду неправительственная организация, сосредоточенная на внедрении управленчества в проекты с открытым исходным кодом, Фонд Нивенли, объявил о запуске нового фонда безопасности, который будет оплачивать тех, кто ответственно раскрывает уязвимости безопасности, затрагивающие приложения и услуги федиверса.
Хотя вся программа может иметь проблемы с безопасностью, Mastodon — открытая и децентрализованная альтернатива X — исправила множество ошибок за годы, что привело к необходимости такой программы. Еще одной проблемой, обнаруженной в федиверсе, является то, что многие серверы управляются независимыми операторами, которые не всегда имеют опыт в области безопасности или понимают лучшие практики.
Уже Фонд Нивенли помог нескольким проектам федиверса настроить свой базовый процесс предоставления информации о уязвимостях безопасности, и сейчас он стремится распространить небольшие выплаты всем, кто ответственно раскрывает другие уязвимости безопасности, которые могут еще присутствовать.
Выплаты будут составлять $250 за уязвимости с оценкой серьезности уязвимости (известной как CVSS) от 7,0 до 8,9 и $500 за более критические уязвимости с оценкой CVSS от 9,0 или выше. Средства для выплат поступают из фонда, который поддерживается непосредственно членами, включая как физические лица, так и другие торговые организации.
Саму уязвимость подтверждают согласие руководителей проекта федиверса, а также общедоступные записи в базах данных о раскрытии уязвимости (CVE).
В данный момент фонд находится в ограниченном испытании после обнаружения уязвимости в децентрализованной альтернативе Instagram, Pixelfed. Мейтения, участница открытого исходного кода, наткнулась на проблему, и Фонд Нивенли оплатил ей за ее устранение, объясняет она.
Более недавняя проблема возникла, когда создатель Pixelfed Даниэль Суперно обнародовал детали уязвимости, прежде чем операторы серверов имели возможность обновиться, что могло бы оставить федиверс уязвимым перед злонамеренными действующими лицами, говорит она. (Суперно публично извинился за свое решение относительно проблемы, которая затронула закрытые учетные записи.)
"Часть программы заключается в... обучении руководителей проектов, помогая им понять, почему ответственная практика раскрытия уязвимостей безопасности так важна," — сказала Смит TechCrunch. "Мы столкнулись с несколькими проектами, которые просто говорили 'Записывайте уязвимости безопасности в наш открытый реестр отчетов', что абсолютно небезопасно, поскольку любое зловредное действующее лицо, наблюдающее за этим репозиторием, теперь сможет атаковать экземпляры этого программного обеспечения," — добавила она.
Обычно установивается практика раскрывать минимум информации об уязвимости, предоставляя операторам серверов время на обновление, — сказала Смит. Но это требует, чтобы руководители проекта понимали лучшие практики безопасности.
Например, в случае проблемы с Pixelfed сервер Mastodon Hydra, на котором более 9 500 участников, решился на размежнование (или отключение от) других серверов Pixelfed, которые не были обновлены, чтобы защитить своих пользователей.
С созданием этой новой программы, разработанной в соответствии с лучшими практиками по раскрытию уязвимостей, необходимость в размежновании для защиты пользователей может стать менее распространенной.
Добро пожаловать в федиверс: Ваш путеводитель по Mastodon, Threads, Bluesky и не только
Децентрализованная альтернатива Instagram Pixelfed запускает мобильные приложения
