تقوم Fediverse ، المعروفة أيضًا باسم الويب الاجتماعي المفتوح والتي تشمل Mastodon و Meta’s Threads و Pixelfed and Only Apps ، بزيادة أمانها. في يوم الأربعاء ، أعلنت مؤسسة غير ربحية تركز على تقديم الحوكمة إلى مشاريع المصادر المفتوحة ، وهي مؤسسة Nivenly ، عن إطلاق صندوق أمن جديد سيدفع أولئك الذين يكشفون عن نقاط الضعف الأمنية التي تؤثر على تطبيقات وخدمات Fediverse.
على الرغم من أن جميع البرامج يمكن أن تواجه مشكلات أمان ، فإن Mastodon – وهو بديل مفتوح المصدر وبديل لا مركزي لـ X – قد حدد العديد من الأخطاء على مر السنين ، مما يؤدي إلى الحاجة إلى مثل هذا البرنامج. هناك مشكلة أخرى موجودة في Fediverse وهي أن العديد من الخوادم تديرها مشغلي مستقلين ليس لديهم بالضرورة خلفية أمنية أو يفهمون أفضل الممارسات.
بالفعل ، ساعدت مؤسسة Nivenly عدد قليل من مشاريع Fediverse في إعداد عملية الإبلاغ عن قابلية الأمن الأساسية الخاصة بها ، والآن تتطلع إلى توزيع المدفوعات الصغيرة لأي شخص يكشف بمسؤولية عن نقاط الضعف الأمنية الأخرى التي قد لا تزال في البرية.
ستحصل المدفوعات على 250 دولارًا لثقة نقاط الضعف مع درجة شدة الضعف (المعروفة باسم CVSS) من 7.0-8.9 و 500 دولار لثغراتية أكثر أهمية مع درجة CVSS 9.0 أو أكثر. تأتي أموال المدفوعات من المؤسسة ، والتي يدعمها الأعضاء مباشرة – والتي تشمل الأفراد وكذلك المنظمات التجارية الأخرى.
يتم التحقق من صحة نقاط الضعف نفسها من خلال القبول من قوات بيانات مشروع Fediverse وكذلك السجلات العامة في قواعد بيانات الكشف عن الضعف (CVE).
يعمل الصندوق حاليًا في تجربة محدودة بعد اكتشاف ثغرة أمنية في بديل Instagram اللامركزي ، pixelfed. وشرحت المساهمة مفتوحة المصدر إميليا سميث هذه القضية ، ودفعها مؤسسة Nivenly لإصلاحها.
وقد ظهرت قضية أكثر حداثة عندما قام دانييل سوبرناولت بتقديم تفاصيل عن جمهور الثغرة الأمنية قبل أن تتاح لمشغلي الخوادم فرصة للتحديث ، مما قد يترك فيفريند عرضة للممثلين السيئين. (اعتذر Supernault بالفعل علنًا عن تعامله مع القضية التي أثرت على حسابات خاصة.)
وقال سميث لـ TechCrunch: “جزء من البرنامج هو … تعليم العملاء المتوقعين ، مما يساعدهم على فهم سبب أهمية ممارسات الإفصاح المسؤولة عن نقاط الضعف الأمنية”. وأضافت: “لقد صادفنا العديد من المشاريع التي قال للتو” نقاط الضعف في أمن الملفات في تعقب القضية العامة لدينا “، والتي ليست آمنة تمامًا ، لأن أي ممثل ضار يراقب هذا المستودع سيكون قادرًا الآن على مهاجمة مثيلات هذا البرنامج”.
وقال سميث إن الممارسة الشائعة هي الكشف عن الحد الأدنى من المعلومات حول الضعف ، مما يمنح مشغلي الخادم الوقت للترقية. ومع ذلك ، فإن هذا يتطلب أن يؤدي المشروع إلى فهم أفضل الممارسات الأمنية.
في حالة قضية Pixelfed ، على سبيل المثال ، قرر خادم Hachyderm Mastodon ، الذي يضم أكثر من 9500 عضوًا ، أنه يحتاج إلى إعادة تمييز الخوادم الأخرى التي لم يتم تحديثها من أجل حماية مستخدميها (أو فصلها).
من خلال هذا البرنامج الجديد المصمم لاتباع أفضل الممارسات حول الكشف عن نقاط الضعف ، قد تصبح الحاجة إلى إعادة بيعها لحماية المستخدمين أقل شيوعًا.
اكتشاف المزيد من اشراق اون لاين
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
