Bugs sur Bitcoin ? Bitcoin Core veut une meilleure gestion des cas critiques
Bitcoin est un protocole dit ossifié, ce qui signifie qu’il est peu évolutif par choix. Cela est fait pour éviter l’introduction de bug dans son code. Pour autant, cela ne signifie pas que son client Bitcoin Core est exempt de bug. Afin de s’assurer de la résilience du protocole, 5 développeurs ont proposé une nouvelle méthode pour assurer la fiabilité du client.
Une nouvelle politique de divulgation de la sécurité pour Bitcoin Core
Le 3 juillet, le développeur Antoine Poinsot accompagné de 4 autres développeurs a pris la parole concernant le risque de bug sur le client Bitcoin Core.
Selon lui, le projet a été historiquement mauvais vis-à-vis de la divulgation de bugs critiques qui affecterait le logiciel. Ainsi, cela aurait amené une partie des observateurs à penser que le logiciel est exempt de bug.
« Cela a conduit à une situation où beaucoup d’utilisateurs perçoivent Bitcoin Core comme n’ayant jamais de bug. Cette perception est dangereuse et, malheureusement, inexacte. »
Ainsi, dans un message adressé à la liste de diffusion des développeurs de Bitcoin, les 5 développeurs ont proposé une nouvelle politique de divulgation des bugs.
« Outre une meilleure communication sur les risques liés à l’utilisation de versions obsolètes, un suivi cohérent et un processus de divulgation normalisé définiraient des attentes claires pour les chercheurs en sécurité, les incitant à essayer de trouver des vulnérabilités et à les divulguer de manière responsable. Mettre les bugs de sécurité à la disposition d’un groupe plus large de contributeurs peut aider à prévenir les bugs futurs. »
Les détails de la nouvelle politique
En pratique, cette politique vise à attribuer des degrés de risques à chaque bug découvert et précise la marche à suivre en fonction de la sévérité.
Ainsi, les développeurs distinguent 4 degrés de risque :
– Bas, avec les bugs difficiles à exploiter ou ayant un faible impact. Ces bugs seront divulgués 2 semaines après que le bug a été corrigé ;
– Moyen, avec les bugs ayant un impact limité. Ces bugs seront divulgués 2 semaines après la fin de vie de la dernière version affectée ;
– Élevé, avec les bugs ayant un impact important. Ces bugs suivent le même schéma que les bugs de gravité moyenne ;
– Critique, avec les bugs qui menacent l’intégrité de l’ensemble du réseau. Ces derniers ne sont pas encore pris en compte dans cette politique et nécessitent une procédure ad hoc.
Cette politique sera progressivement adoptée dans les mois à venir et les bugs découverts jusqu’à présent seront divulgués dans les mois à venir.
Selon les premières réponses au message, il semblerait que cette démarche soit perçue positivement par les autres développeurs.
Il s’agit d’une préoccupation d’actualité, notamment vis-à-vis du fait que certains développeurs militent pour la restauration de certains opcodes sur Bitcoin. En effet, ces derniers pourraient permettre de décupler les capacités de Bitcoin, mais pourraient être à l’origine de l’introduction de bugs.