一个新的安全基金开放以帮助保护 fediverse

快速阅读: 据《TechCrunch 技术紧缩》最新报道，联邦生态安全基金启动，向揭露漏洞的研究人员提供奖励。该基金旨在提高开源社交平台如马斯托登和像素坊的安全性，特别是帮助缺乏安全知识的独立服务器管理者。严重漏洞赔付250-500美元，资金来自内文利基金会。试点项目已开始，强调负责任的漏洞披露实践。

联邦生态（Fediverse），即包含马斯托登（Mastodon）、脸书旗下的Threads、像素坊（Pixelfed）及其他应用的开源社交网络，正在强化其安全性。周三，致力于为开源项目引入治理的非营利机构——内文利基金会（Nivenly Foundation）宣布启动一项新的安全基金。这项基金将向那些负责任地揭露影响联邦生态应用和服务安全漏洞的人员支付报酬。

尽管所有软件都可能存在安全问题，但作为推特替代方案的开源与去中心化的马斯托登经过多年修复诸多漏洞，推动了此类计划的需求。联邦生态还面临另一个挑战：许多服务器由独立运营者管理，他们可能缺乏安全知识或不了解最佳实践。内文利基金会已协助一些联邦生态项目建立基础的安全漏洞报告流程，如今它正寻求向那些负责任地揭露其他尚未解决的安全漏洞的人分发小额奖励。

对于严重性评分在7.0至8.9之间的漏洞，每个漏洞的赔付金额为250美元；而对于更为严重的严重性评分达到9.0及以上的漏洞，则每个漏洞的赔付金额为500美元。这些赔付资金来源于基金会，该基金会得到了包括个人及其他贸易组织在内的成员支持。这些漏洞本身由联邦生态项目的负责人以及漏洞披露（CVE）数据库中的公共记录进行验证。

在去中心化版Instagram替代品像素坊发现一个安全漏洞后，该基金现正进行有限试点。开源贡献者艾米莉亚·史密斯（Emelia Smith）发现了这一问题，并由内文利基金会为此支付她修复问题，她解释道。近期的一个问题是，当像素坊的创建者丹尼尔·苏柏纳乌（Daniel Supernault）在服务器管理员有机会更新之前公开了漏洞详情，这将使联邦生态暴露于恶意行为者的攻击风险之中，她说。（苏柏纳乌已就影响私人账户的问题公开致歉。）

“该计划的一部分是……对项目负责人进行教育，帮助他们理解为何负责任的漏洞披露实践至关重要，”史密斯在接受TechCrunch采访时说道。“我们遇到过几个项目，它们只是要求在公开的问题追踪器中报告安全漏洞，这绝对是不安全的，因为任何恶意行为者都可以通过观察那个存储库来攻击软件实例，”她补充道。

通常而言，常见做法是在披露漏洞时尽量少透露信息，以便服务器管理员有足够时间完成升级，史密斯表示。然而，这需要项目负责人了解安全最佳实践。以像素坊的问题为例，拥有超过9500名成员的哈基德姆（Hachyderm）马斯托登服务器决定与未更新的像素坊服务器断开连接，以保护其用户。借助这项遵循漏洞披露最佳实践的新计划，为保护用户而断开连接的情况可能会减少。

(以上内容均由Ai生成)