Le Fediverse, également connu sous le nom de Web social ouvert qui comprenait Mastodon, les threads de Meta, Pixelded et d’autres applications, augmente sa sécurité. Mercredi, un organisme à but non lucratif s’est concentré sur la gouvernance des projets open source, la Nivenly Foundation, a annoncé le lancement d’un nouveau fonds de sécurité qui paiera ceux qui ont divulgué des vulnérabilités de sécurité qui affectent Fediverse et les services.
Bien que tous les logiciels puissent avoir la sécurité, Mastodon – une alternative open source et décentralisée à X – a corrigé de nombreux bogues au fil des ans, ce qui entraîne la nécessité d’un tel programme. Un autre problème trouvé dans le Fediverse est que les serveurs de Mary sont gérés par des opérateurs indépendants qui n’ont pas besoin de formation en sécurité ou de comprendre les meilleures pratiques.
Déjà, la Fondation Nivenly a aidé quelques projets à mettre en place leur processus de rapport de base de la vulnérabilité de sécurité, et maintenant il cherche à distribuer de petits versements à toute personne responsable de divulguer d’autres vulnérabilités de sécurité qui pourraient encore être à l’état sauvage.
Les paiements totaliseront 250 $ pour la vulnérabilité avec un score de gravité de la vulnérabilité (réduit comme CVSS) de 7,0-8,9 et 500 $ pour des vulnérabilité plus critiques avec un score CVSS de 9,0 ou plus. Les fonds pour les paiements proviennent de la fondation, qui est soutenue directement par des membres qui comprenaient des individus ainsi que d’autres organisations commerciales.
La vulnérabilité elles-mêmes est validée par l’acceptation du Fediverse Project Lead ainsi que les bases de données publiques dans la vulnérabilité (CVE).
Le fonds en est actuellement à un essai limité après la découverte d’une vulnérabilité de sécurité dans l’alternative Instagram décentralisée, Pixelded. Le contributeur open source Emelia Smith est tombé sur le problème, et la Fondation Nivenly l’a payée pour le réparer, explique-t-elle.
Un problème plus récent est survenu lorsque le créateur de Pixelded, Daniel Supernault a rendu les détails d’un public de vulnérabilité avant que les opérateurs de serveurs n’aient la possibilité de mettre à jour, ce qui aurait laissé le Fediverse vulnérable aux mauvais acteurs, dit-elle. (Supernault s’est déjà excusé publiquement pour sa gestion de l’ISSU qui avait affecté les comptes privés.)
«Une partie du programme est… L’éducation des pistes de projet, les aidant à comprendre pourquoi les pratiques de divulgation responsables pour les vulnérabilité des vulnérabilités sont importantes», a déclaré Smith à TechCrunch. « Nous camons dans plusieurs projets qui viennent de dire » des vulnérabilités de sécurité dans notre suivi des numéros publics « , qui n’est absolument pas sûr, car tout acteur malveillant qui regarde cette restitory serait désormais en mesure d’attaquer les cas de ce logiciel », a-t-elle ajouté.
En règle générale, la pratique courante consiste à divulguer des informations minimales sur une vulnérabilité, donnant aux opérateurs de serveurs le temps de mettre à niveau, a déclaré Smith. Cependant, cela nécessite que les chefs de file du projet comprennent les meilleures pratiques de sécurité.
Dans le cas du problème Pixelded, par exemple, le serveur Hachyderm Mastodon, qui compte plus de 9 500 membres, a décidé qu’il était en train de vaincre (ou de se déconnecter) d’autres serveurs de pixelé qui n’avaient pas été mis à jour afin de protéger leurs utilisateurs.
Avec ce nouveau programme conçu pour suivre les meilleures pratiques qui entourent la divulgation des vulnérabilité, la nécessité de dédiger pour protéger les utilisateurs peut devenir moins courante.
