O Fediverse, também conhecido como Web Social Open, que inclui Mastodon, os tópicos da Meta, Pixelded e outros aplicativos, está aumentando sua segurança. Na quarta -feira, uma organização sem fins lucrativos focada em levar a governança aos projetos de código aberto, a Nivenly Foundation, anunciou o lançamento de um novo fundo de segurança que pagará àqueles que divulgarão responsabilidade vulnerabilidades de segurança que afetam os aplicativos e serviços da Fediverse.
Embora todo o software possa ter problemas de segurança, a Mastodon – uma alternativa de código aberto e descentralizada a X – corrigiu vários erros ao longo dos anos, levando à necessidade de esse programa. Outra questão encontrada no Fediverse é que muitos servidores são executados por operadores independentes que não têm necessariamente um histórico de segurança ou entendem as melhores práticas.
A Fundação Nivenly já ajudou alguns projetos do Fediverse a criar seu processo básico de relatório de vulnerabilidades de segurança, e agora está procurando distribuir pequenos pagamentos a qualquer pessoa que divulgue com responsabilidade outras vulnerabilidades de segurança que ainda podem estar na natureza.
Os pagamentos totalizarão US $ 250 por vulnerabilidades com uma pontuação de gravidade de vulnerabilidade (conhecida como CVSS) de 7,0-8,9 e US $ 500 para vulnerabilidades mais críticas com uma pontuação CVSS de 9,0 ou mais. Os fundos para os pagamentos vêm da fundação, que é apoiada diretamente pelos membros – que inclui indivíduos e outras organizações comerciais.
As próprias vulnerabilidades são validadas pela aceitação dos leads do Projeto Fediverse, bem como por registros públicos em bancos de dados de divulgação de vulnerabilidades (CVE).
O Fundo está atualmente em um julgamento limitado após a descoberta de uma vulnerabilidade de segurança na alternativa descentralizada do Instagram, com feldelded. A colaboradora de código aberto Emelia Smith se deparou com a edição, e a Fundação Nivenly a pagou para consertá -la, explica ela.
Uma edição mais recente surgiu quando o criador de Pixelfed, Daniel Supernault tornou os detalhes de um público de vulnerabilidade antes que as operadoras de servidores tivessem a chance de atualizar, o que deixaria o Fediverse vulnerável a maus atores, diz ela. (A Supernault já pediu desculpas publicamente por seu manuseio da questão que afetou as contas privadas.)
“Parte do programa é … a educação para os líderes do projeto, ajudando -os a entender por que as práticas de divulgação responsáveis para vulnerabilidades de segurança são importantes”, disse Smith ao TechCrunch. “Encontramos vários projetos que acabaram de dizer ‘vulnerabilidades de segurança de arquivos em nosso rastreador de questões públicas’, que absolutamente não é seguro, pois qualquer ator malicioso que assistia a esse repositório agora seria capaz de atacar instâncias desse software”, acrescentou.
Normalmente, a prática comum é divulgar informações mínimas sobre uma vulnerabilidade, dando aos operadores do servidor tempo para atualizar, disse Smith. No entanto, isso exige que os leads do projeto entendam as melhores práticas de segurança.
No caso do problema pixelded, por exemplo, o servidor Hachyderm Mastodon, que possui mais de 9.500 membros, decidiu que precisava desfigurar (ou desconectar) outros servidores que não foram atualizados para proteger seus usuários.
Com este novo programa projetado para seguir as melhores práticas em torno da divulgação de vulnerabilidades, a necessidade de desfigurar para proteger os usuários pode se tornar menos comum.