Der Fediverse, auch bekannt als Open Social Web, das Mastodon, METAs Threads, Pixelfed und andere Apps umfasst, rampt seine Sicherheit. Am Mittwoch konzentriert Nivenly FoundationAnwesend angekündigt Die Einführung eines neuen Sicherheitsfonds, in dem diejenigen, die verantwortungsbewusste Sicherheitslücken, die sich auswirken, die Apps und -dienste von Fediverse auswirken.
Während alle Software Sicherheitsprobleme haben können, hat Mastodon – eine Open Source und eine dezentrale Alternative zu X – behoben zahlreiche Fehler im Laufe der Jahrezu der Notwendigkeit eines solchen Programms. Ein weiteres Problem im Fediversum ist, dass viele Server von unabhängigen Betreibern geleitet werden, die nicht unbedingt einen Sicherheitshintergrund haben oder Best Practices verstehen.
Die Nivenly Foundation hat bereits einigen Fediverse -Projekten geholfen, ihren grundlegenden Prozess zur Sicherheitsanfälligkeit zu errichten, und nun möchte sie kleine Auszahlungen an alle verteilen, die verantwortungsbewusst andere Sicherheitslücken, die möglicherweise noch in freier Wildbahn vorliegen.
Die Auszahlungen werden 250 US-Dollar für Schwachstellen mit einem Schweregrad der Schwachstellen (bekannt als CVSS) von 7,0 bis 8,9 und 500 US-Dollar für kritischere Schwachstellen mit einem CVSS-Wert von 9,0 oder mehr. Die Mittel für die Auszahlungen stammen von der Stiftung, die direkt von von der Stiftung unterstützt wird Mitglieder Dazu gehören auch Einzelpersonen sowie andere Handelsorganisationen.
Die Schwachstellen selbst werden durch die Annahme der Fediverse -Projektleitungen sowie durch öffentliche Aufzeichnungen in den Datenbanken (Offenheitsteilungen in Anfälligkeitsdiskussionen) validiert.
Der Fonds befindet sich derzeit in einem begrenzten Versuch nach der Entdeckung von a Sicherheitsanfälligkeit In der dezentralen Instagram -Alternative, Pixelfed. Open Source -Mitwirkende Emelia Smith stieß über die AusgabeUnd die Nivenly Foundation hat sie bezahlt, um es zu beheben, erklärt sie.
Ein neuerer Ausgabe kam entstanden, als Pixelfs Schöpfer, Daniel Supernault Die Details einer Verwundbarkeit öffentlich gemacht, bevor Serverbetreiber die Möglichkeit hatten, zu aktualisieren, was den Fediversum anfällig für schlechte Schauspieler verlassen hätte, sagt sie. (Supernault hat es schon entschuldigte sich öffentlich Für seine Behandlung des Problems, das private Konten betroffen hatte.)
„Ein Teil des Programms ist… Bildung für Projektleitungen, mit denen sie verstehen, warum verantwortungsbewusste Offenlegungspraktiken für Sicherheitslücken wichtig sind“, sagte Smith gegenüber Tech. „Wir sind auf mehrere Projekte gestoßen, in denen nur“ Sicherheitslücken in unserem öffentlichen Problem Tracker einreichen „gesagt haben, was absolut nicht sicher ist, da jeder böswillige Schauspieler, der dieses Repository beobachtet, jetzt in der Lage sein würde, Instanzen dieser Software anzugreifen“, fügte sie hinzu.
In der Regel besteht die gängige Praxis darin, minimale Informationen über eine Sicherheitsanfälligkeit offenzulegen und Serverbetreiber Zeit zum Upgrade zu geben, sagte Smith. Dies erfordert jedoch, dass Projektleitungen die Best Practices der Sicherheit verstehen.
Im Falle des Pixelfed -Problems beispielsweise die Hachyderm Mastodon Serverdas über 9.500 Mitglieder hat, entschieden, dass es andere pixelfierte Server, die nicht aktualisiert worden waren, um ihre Benutzer zu schützen, zu verteidigen (oder von anderen zu trennen).
Mit diesem neuen Programm, um Best Practices zur Offenlegung von Schwachstellen zu verfolgen, kann die Notwendigkeit, den Schutz des Benutzers zu definieren, weniger verbreitet.