The Fediverse, juga dikenal sebagai Web Sosial Terbuka yang mencakup Mastodon, utas Meta, Pixelfed, dan aplikasi lainnya, meningkatkan keamanannya. Pada hari Rabu, sebuah organisasi nirlaba yang berfokus pada membawa tata kelola ke proyek open source, Nivenily Foundation, diumumkan Peluncuran dana keamanan baru yang akan membayar mereka yang secara bertanggung jawab mengungkapkan kerentanan keamanan yang memengaruhi aplikasi dan layanan Fediverse.
Sementara semua perangkat lunak dapat memiliki masalah keamanan, Mastodon – alternatif open source dan desentralisasi untuk X – telah diperbaiki banyak bug selama bertahun -tahunmengarah pada kebutuhan akan program semacam itu. Masalah lain yang ditemukan di Fediverse adalah bahwa banyak server dijalankan oleh operator independen yang tidak perlu memiliki latar belakang keamanan atau memahami praktik terbaik.
Nivenly Foundation telah membantu beberapa proyek Fediverse mengatur proses pelaporan kerentanan keamanan dasar mereka, dan sekarang ia ingin mendistribusikan pembayaran kecil kepada siapa saja yang secara bertanggung jawab mengungkapkan kerentanan keamanan lain yang mungkin masih di alam liar.
Pembayaran akan berjumlah $ 250 untuk kerentanan dengan skor keparahan kerentanan (dikenal sebagai CVSS) 7,0-8,9 dan $ 500 untuk kerentanan yang lebih kritis dengan skor CVSS 9,0 atau lebih besar. Dana untuk pembayaran berasal dari yayasan, yang didukung langsung oleh anggota – yang mencakup individu maupun organisasi perdagangan lainnya.
Kerentanan itu sendiri divalidasi dengan penerimaan dari lead proyek Fediverse serta catatan publik dalam database pengungkapan kerentanan (CVE).
Dana saat ini dalam uji coba terbatas setelah penemuan a kerentanan keamanan dalam alternatif Instagram yang terdesentralisasi, Pixelfed. Kontributor Sumber Terbuka Emelia Smith datang di seberang masalahdan yayasan niven membayarnya untuk memperbaikinya, dia menjelaskan.
Yang lebih baru masalah muncul saat pencipta Pixelfed, Daniel Supernault Membuat rincian publik kerentanan sebelum operator server memiliki kesempatan untuk memperbarui, yang akan membuat Fediverse rentan terhadap aktor buruk, katanya. (Supernault sudah meminta maaf di depan umum untuk penanganannya terhadap masalah yang telah mempengaruhi akun pribadi.)
“Bagian dari program ini adalah … pendidikan untuk prospek proyek, membantu mereka memahami mengapa praktik pengungkapan yang bertanggung jawab untuk kerentanan keamanan adalah penting,” kata Smith kepada TechCrunch. “Kami menemukan beberapa proyek yang baru saja mengatakan 'file kerentanan keamanan dalam pelacak edisi publik kami,' yang sama sekali tidak aman, karena aktor jahat yang menonton repositori itu sekarang akan dapat menyerang contoh perangkat lunak itu,” tambahnya.
Biasanya, praktik umum adalah mengungkapkan informasi minimal tentang kerentanan, memberi operator server waktu untuk meningkatkan, kata Smith. Namun, ini mensyaratkan bahwa prospek proyek memahami praktik terbaik keamanan.
Dalam kasus masalah pixelfed, misalnya, Hachyderm Mastodon Serveryang memiliki lebih dari 9.500 anggota, memutuskan perlu untuk defederasi (atau memutuskan dari) server pixelfed lainnya yang belum diperbarui untuk melindungi pengguna mereka.
Dengan program baru yang dirancang untuk mengikuti praktik terbaik di sekitar pengungkapan kerentanan, kebutuhan untuk defederasi untuk melindungi pengguna mungkin menjadi kurang umum.
