コアな問題：Bitcoin Coreを安全に保つ

2兆ドル以上の価値を保護するBitcoin Coreは、そのコードの品質と維持プロセスに完全に依存しています。セキュリティへのアプローチは、より厳格なレビュープロセスや保守的な変更など、進化する一連の慣行です。この記事では、正式化された脆弱性開示ポリシー、広範なファジングインフラストラクチャ、および広範なテストツールキットという主要な側面を検証しています。約1年半前に改定された開示ポリシーでは、脆弱性をクリティカル、高、中、低の4つの深刻度レベルに分類し、ユーザーが更新するための合理的な時間を確保するために、詳細公開を遅らせるという段階的なリリーススケジュールを定めています。修正は通常、秘密裏に開発され、説明を曖昧にしたプルリクエストとして通常のコードレビューを通過します。ファジングは、ランダム化された入力をソフトウェアに与えてエッジケースのバグを見つけるテスト手法であり、プロジェクトはGoogleのoss-fuzzなどのインフラストラクチャに支えられ、これを広範に利用しており、多数のバグを発見しています。さらに、プロジェクトは隔離されたコードの検証のために数百の単体テストと、システムレベルのシナリオをシミュレートする機能テストを採用しています。レガシーコードが多く残るためリファクタリングは継続的な作業であり、システムレベルのテストはその取り組みのリスクを軽減するのに役立っています。

(出典：Bitcoin Magazine)