الفيديفيرس، المعروف أيضًا باسم الويب الاجتماعي المفتوح الذي يتضمن ماستودون، وThreads من Meta، وPixelfed، وتطبيقات أخرى، يقوم بتعزيز أمانه. يوم الأربعاء، أعلنت مؤسسة غير ربحية تركز على تقديم الحوكمة لمشاريع المصدر المفتوح، مؤسسة نيفنلي، عن إطلاق صندوق أمان جديد سيدفع لأولئك الذين يكتشفون بمسؤولية ثغرات أمان تؤثر على تطبيقات وخدمات الفيديفيرس.
بينما يمكن أن تواجه جميع البرمجيات مشاكل أمان، فقد قام ماستودون - البديل المفتوح المصدر والمتمركز بشكل غير مركزي عن X - بإصلاح العديد من الثغرات على مر السنين، مما أدى إلى الحاجة لهذا البرنامج. ومن المشكلات الأخرى التي وُجدت في الفيديفيرس أن العديد من الخوادم يديرها مشغلون مستقلون ليس لديهم بالضرورة خلفية أمنية أو فهم لأفضل الممارسات.
بالفعل، قد ساعدت مؤسسة نيفنلي بعض مشاريع الفيديفيرس في إعداد عملية الإبلاغ الأساسية عن ثغرات الأمان، والآن هي تتطلع إلى توزيع مدفوعات صغيرة لأي شخص يكشف بمسؤولية عن ثغرات أمان أخرى قد تظل موجودة بعد.
ستبلغ مدفوعات $250 للثغرات ذات درجة خطورة (المعروفة باسم CVSS) من 7.0 إلى 8.9 و$500 لثغرات أكثر خطورة بتصنيف CVSS من 9.0 أو أكثر. تأتي الأموال المخصصة للمدفوعات من المؤسسة التي يدعمها مباشرة الأفراد وكذلك منظمات التجارة الأخرى.
تُحقق الثغرات ذاتها من خلال قبول قادة مشروعات الفيديفيرس بالإضافة إلى السجلات العامة في قواعد البيانات لإفشاء الثغرات (CVE).
يتواجد الصندوق حاليًا في تجربة محدودة بعد اكتشاف ثغرة أمنية في بديل إنستغرام المتمركز بشكل غير مركزي، Pixelfed. عثرت المساهمة في المشروع مفتوح المصدر إميليا سميث على المشكلة، ودفعتها مؤسسة نيفنلي لإصلاحها، كما تشرح.
جاءت مشكلة أحدث عندما كشف صانع Pixelfed، دانييل سوبرنو، تفاصيل ثغرة علنًا قبل أن يكون لدى مشغلي الخوادم فرصة للتحديث، مما كان يترك الفيديفيرس عُرضة للعوامل السيئة، تقول. (قد اعتذر سوبرنو علنًا بالفعل عن تعامله مع المسألة التي تأثرت بالحسابات الخاصة.)
"جزء من البرنامج هو... التثقيف لقادة المشروع، مساعدتهم في فهم السبب في أهمية ممارسات الإفشاء المسؤول لثغرات الأمان"، تقول سميث لتيك كرنش. "وجدنا العديد من المشاريع التي قالت فقط 'تقديم ثغرات الأمان في متعقب المشاكل العام لدينا'، وهو أمر غير آمن على الإطلاق، حيث أن أي عامل شرير يراقب ذلك المستودع الآن يمكنه شن هجمات ضد حالات هذا البرنامج"، أضافت.
عادةً ما يكون الممارسة الشائعة هي التفصيل الدنيا عن ثغرة أمان، وإعطاء مشغلي الخوادم وقتًا للترقية، تقول سميث. ومع ذلك، يتطلب ذلك من قادة المشروعات فهم أفضل الممارسات الأمنية.
في حالة المشكلة التي واجهت Pixelfed على سبيل المثال، قررت خادم Hachyderm Mastodon، الذي يضم أكثر من 9،500 عضو، أنه يجب أن يقوم بالفصل (أو الافصاح عن الاقتران) من خوادم Pixelfed الأخرى التي لم تتم ترقيتها من أجل حماية مستخدميه.
مع هذا البرنامج الجديد الذي صمم لمتابعة أفضل الممارسات حول الإفشاء للثغرات، قد يصبح حاجة التفصيل لحماية المستخدمين أقل شيوعًا.
مرحبًا بك في الفيديفيرس: دليلك على ماستودون، Threads، Bluesky والمزيد
بديل إنستغرام المتمركز بشكل غير مركزي Pixelfed يطلق تطبيقات للهواتف المحمولة
