Mastodon, Meta의 Threads, Pixelfed 및 기타 앱을 포함하는 오픈 소셜 웹으로 알려진 페디버스는 보안을 강화하고 있습니다. 수요일에, 오픈 소스 프로젝트에 거버넌스를 제공하기 위해 중점을 둔 비영리 기금인 Nivenly Foundation이 페디버스 앱 및 서비스에 영향을 미치는 보안 취약점을 책임 있게 공개하는 사람들에게 보상을 제공할 새로운 보안 기금을 시작한다고 발표했습니다.
모든 소프트웨어에는 보안 문제가 발생할 수 있지만, Mastodon은 X의 대안인 오픈 소스 및 분산형 솔루션으로 수년 동안 다양한 버그를 수정해 왔으며, 이로 인해 해당 프로그램의 필요성이 대두되었습니다. 페디버스에서 발견된 다른 문제는 많은 서버가 보안 배경을 가지지 않은 독립적인 운영자들에 의해 운영되고 있다는 것입니다.
이미 Nivenly Foundation은 몇 가지 페디버스 프로젝트가 기본 보안 취약점 보고 프로세스를 설정하는 데 도움을 주었으며, 이제 아직 남아있는 다른 보안 취약점을 책임 있게 공개하는 사람들에게 소액 보상을 지급하려고 합니다.
취약성의 총액은 취약성 심각도 점수 (CVSS)가 7.0-8.9인 경우 250달러이고, CVSS 점수가 9.0 이상인 보다 심각한 취약성의 경우 500달러입니다. 이 보상을 위한 자금은 개별 회원 및 다른 업계 조직을 포함한 개인이 직접 지원하는 재단에서 나옵니다.
취약성은 페디버스 프로젝트 리더의 수락과 취약성 공개(CVE) 데이터베이스의 공개 기록에 의해 유효성이 검증됩니다.
해당 기금은 분산형 Instagram 대체품 Pixelfed에서 발견된 보안 취약점 후에 한정된 시행 중에 있습니다. 오픈 소스 기여자 Emelia Smith은 해당 문제를 발견하고 Nivenly 재단이 그것을 고치기 위해 그녀에게 돈을 줬다고 설명했습니다.
Pixelfed의 창조자인 Daniel Supernault가 서버 운영자가 업데이트할 시간이 없이 보안 취약성 세부 정보를 공개했을 때 최근 또 다른 문제가 발생했으며, 이는 페디버스가 악한 행위 주체에 취약해질 수 있는 상황을 초래했다고 그녀는 말했습니다. (Supernault는 이미 해당 문제로 인해 개인 계정에 영향을 준 문제에 대해 공개적으로 사과했습니다.)
“프로그램의 한 부분은 ... 프로젝트 리더를 위한 교육입니다. 그들이 보안 취약성에 대한 책임 있는 공개 관행이 왜 중요한지 이해하는 데 도와줍니다,”라고 Smith는 TechCrunch에 전했습니다. “우리는 '우리의 공개적 이슈 트래커에 보안 취약성을 제출하라'는 몇 가지 프로젝트를 발견했습니다. 이는 악의적인 행위자가 해당 소프트웨어의 인스턴스를 공겨할 수 있게 될 수 있기 때문에 절대 안전하지 않습니다,”라고 그녀는 덧붙였습니다.
일반적으로 취약성에 대한 최소한의 정보를 공개해 서버 운영자가 업그레이드할 시간을 줄 것을 요구하며, 이는 프로젝트 리더가 보안 최상의 기록을 이해해야 함을 의미합니다.
예를 들어 Pixelfed 문제의 경우, 9,500명 이상의 회원을 보유한 Hachyderm Mastodon 서버는 사용자를 보호하기 위해 업데이트되지 않은 다른 Pixelfed 서버에서 defederate(또는 연결을 끊음)해야 한다고 결정했습니다.
이 새로운 프로그램은 취약성 공개를 통해 최상의 실천 방법을 따르도록 설계된 것으로 보호를 위해 사용자를 보호하기 위해 defederate해야 하는 필요성이 줄어들 수 있습니다.
페디버스에 오신 것을 환영합니다: Mastodon, Threads, Bluesky 및 기타 안내
분산형 인스타그램 대체품 Pixelfed가 모바일 앱을 출시합니다
