Bitcoin Core ontwikkelaars hebben een nieuw beleid ingevoerd voor het melden van “kritieke bugs” om de veiligheid van Bitcoin beter te waarborgen. Volgens ontwikkelaar Antoine Poinsot is het een misverstand dat Bitcoin Core geen bugs bevat, en dit is gevaarlijk en onjuist.

Historisch gezien heeft het project onvoldoende gecommuniceerd over beveiligingslekken, wat gebruikers de verkeerde indruk heeft gegeven dat Bitcoin Core foutloos is. Bitcoin Core is de software die wordt gebruikt door Bitcoin node-operators om toegang te krijgen tot de blockchain, transacties te valideren en nieuwe blokken te creëren. Het speelt een cruciale rol in de beveiliging van meer dan $1,1 biljoen aan waarde in het Bitcoin-netwerk.

Het nieuwe beleid zal helpen om beter te communiceren over de risico’s van verouderde versies van Bitcoin Core en biedt een gestandaardiseerd proces voor het melden van kwetsbaarheden. Dit zal onderzoekers aanmoedigen om problemen op een verantwoorde manier te vinden en te rapporteren.

“Door beveiligingsbugs toegankelijk te maken voor een bredere groep bijdragers, kunnen we toekomstige problemen voorkomen,” aldus Poinsot.

De nieuwe meldingsprocedure verdeelt kwetsbaarheden in vier categorieën op basis van ernst:

1. Laag: Moeilijk te misbruiken bugs met weinig impact, zoals een wallet-bug die toegang tot de computer van het slachtoffer vereist.
2. Middel: Bugs met beperkte impact, zoals een netwerkcrash.
3. Hoog: Bugs met aanzienlijke impact.
4. Kritiek: Bugs die de integriteit van het hele netwerk bedreigen, zoals het manipuleren van Bitcoin Core om de hoeveelheid Bitcoin te verhogen of het stelen van munten.

Lage, middelmatige en hoge bugs worden twee weken na de release van een gefixeerde versie openbaar gemaakt, terwijl kritieke bugs per geval worden beoordeeld.

Het nieuwe beleid wordt de komende maanden geleidelijk ingevoerd. Poinsot meldde dat alle kwetsbaarheden in Bitcoin Core versies 0.21.0 en eerder al openbaar zijn gemaakt, en dat openbaarmakingen voor versies 0.22.0 en 0.23.0 later deze maand en in augustus zullen volgen. De nieuwste versie is Bitcoin Core 27.1.

Het beleid kreeg lof van mede-ontwikkelaar Eric Voskuil:

“Veel andere projecten hebben te maken gehad met deze misvatting, wat materiële schade aan de gemeenschap heeft veroorzaakt. Ik weet niet wat deze verandering heeft veroorzaakt, maar complimenten aan jullie allemaal voor deze stap.”