TechFlow, un message de Bitcoin Core, Antoine Poinsot et cinq autres développeurs ont annoncé le 3 juillet aux membres de la liste de diffusion Bitcoin Development une nouvelle politique de divulgation des « vulnérabilités critiques », destinée à communiquer plus efficacement sur les failles de sécurité du bitcoin.
Poinsot a souligné que par le passé, le projet n’avait pas suffisamment divulgué publiquement les vulnérabilités critiques pour la sécurité, ce qui avait induit en erreur les utilisateurs en leur faisant croire que Bitcoin Core ne comportait aucune faille. Cette perception est à la fois dangereuse et inexacte. La nouvelle politique classe les vulnérabilités en quatre niveaux selon leur gravité et établit une procédure normalisée de divulgation afin d’encourager les chercheurs à découvrir et signaler les failles de manière responsable. Les vulnérabilités de niveau faible, moyen et élevé seront rendues publiques deux semaines après la sortie de la version corrigée, tandis que la divulgation des vulnérabilités critiques sera effectuée au cas par cas. Toutes les vulnérabilités des versions 0.21.0 et antérieures de Bitcoin Core ont été divulguées le 3 juillet ; celles des versions 0.22.0 et 0.23.0 seront publiées respectivement ce mois-ci et en août. La dernière version est la 27.1. Le développeur Eric Voskuil s'est dit favorable à cette politique.




