تاسیس صندوق امنیتی جدید برای حمایت از فدیوِرس: گامی مؤثر در حفاظت از فضای دیجیتال

فدیوورس، که به عنوان وب اجتماعی باز شناخته می‌شود و شامل اپلیکیشن‌هایی مانند مستودون، Threads متا، Pixelfed و دیگر برنامه‌ها است، به تازگی امنیت خود را تقویت کرده است. در روز چهارشنبه، بنیاد نیونلی، یک سازمان غیرانتفاعی که به مدیریت پروژه‌های متن باز اختصاص دارد، از راه‌اندازی یک صندوق امنیتی جدید خبر داد که به افرادی که با مسئولیت‌پذیری آسیب‌پذیری‌های امنیتی که بر اپلیکیشن‌ها و خدمات فدیوورس تأثیر می‌گذارند را افشا می‌کنند، پاداش می‌دهد.

در حالی که همه نرم‌افزارها ممکن است دارای مشکلات امنیتی باشند، مستودون، به عنوان یک جایگزین متن باز و غیرمتمرکز برای X، در طول سال‌ها موفق به رفع چندین باگ شده است که نشان‌دهنده نیاز به چنین برنامه‌ای است. یکی دیگر از مشکلات موجود در فدیوورس این است که بسیاری از سرورها توسط اپراتورهای مستقل که لزوماً دارای سابقه امنیتی نیستند یا بهترین شیوه‌ها را نمی‌شناسند، اداره می‌شوند.

بنیاد نیونلی در حال حاضر به چند پروژه فدیوورس کمک کرده است تا فرایند گزارش‌دهی آسیب‌پذیری‌های امنیتی خود را راه‌اندازی کنند و اکنون به دنبال توزیع پرداخت‌های کوچک به هر کسی است که آسیب‌پذیری‌های امنیتی دیگری را به‌طور مسئولانه افشا کند.

• پاداش‌ها: مجموع پرداخت‌ها برای آسیب‌پذیری‌ها با نمره شدت آسیب‌پذیری (CVSS) بین ۷.۰ تا ۸.۹، ۲۵۰ دلار خواهد بود، و برای آسیب‌پذیری‌های بحرانی‌تر با نمره CVSS ۹.۰ یا بیشتر، ۵۰۰ دلار خواهد بود.
• منابع مالی: این پرداخت‌ها از سوی بنیاد تأمین می‌شود که به‌طور مستقیم توسط اعضا و سازمان‌های تجاری دیگر حمایت می‌شود.
• تأیید آسیب‌پذیری‌ها: آسیب‌پذیری‌ها با تأیید رهبران پروژه‌های فدیوورس و همچنین سوابق عمومی در پایگاه‌های داده افشای آسیب‌پذیری (CVE) اعتبارسنجی می‌شوند.

این صندوق در حال حاضر در مرحله آزمایشی محدودی پس از کشف یک آسیب‌پذیری امنیتی در جایگزین غیرمتمرکز اینستاگرام، Pixelfed، قرار دارد. امیلیا اسمیت، یک همکار متن باز، این مشکل را کشف کرده و بنیاد نیونلی به او پرداختی برای رفع آن کرده است.

مسئله‌ای که به تازگی پیش آمد این بود که دانیل سوپرنالت، خالق Pixelfed، جزئیات یک آسیب‌پذیری را به‌طور عمومی افشا کرد قبل از اینکه اپراتورهای سرور فرصتی برای به‌روزرسانی داشته باشند، که این امر فدیوورس را در معرض خطر قرار می‌داد. سوپرنالت قبلاً به خاطر نحوه برخورد با این موضوع که بر حساب‌های خصوصی تأثیر گذاشته بود، به‌طور عمومی عذرخواهی کرده است.

اسمیت به TechCrunch گفت: “بخشی از این برنامه شامل آموزش برای رهبران پروژه است تا آنها بفهمند که چرا شیوه‌های افشای مسئولانه برای آسیب‌پذیری‌های امنیتی اهمیت دارند.” او افزود: “ما با چندین پروژه روبرو شدیم که تنها گفتند ‘آسیب‌پذیری‌های امنیتی را در ردیاب مشکلات عمومی ما ثبت کنید’، که این قطعاً ایمن نیست، زیرا هر بازیگر مخربی که این مخزن را زیر نظر داشته باشد، اکنون قادر به حمله به نمونه‌های آن نرم‌افزار خواهد بود.”

به طور معمول، شیوه معمول افشای حداقلی اطلاعات درباره یک آسیب‌پذیری است تا به اپراتورهای سرور زمان برای به‌روزرسانی داده شود. با این حال، این نیازمند این است که رهبران پروژه بهترین شیوه‌های امنیتی را درک کنند.

در مورد مشکل Pixelfed، برای مثال، سرور مستودون Hachyderm که بیش از ۹۵۰۰ عضو دارد، تصمیم گرفت تا از دیگر سرورهای Pixelfed که به‌روزرسانی نشده بودند، جدا شود تا از کاربران خود محافظت کند.

با این برنامه جدید که به دنبال بهترین شیوه‌ها در افشای آسیب‌پذیری‌ها است، نیاز به جداسازی برای محافظت از کاربران ممکن است کمتر رایج شود.

به فدیوورس خوش آمدید: راهنمای شما برای مستودون، Threads، Bluesky و بیشتر.

جایگزین غیرمتمرکز اینستاگرام Pixelfed برنامه‌های موبایلی را راه‌اندازی می‌کند.