Преминете към основното съдържание

Една публикация маркиран с/със "стимули за разработчици"

Вижте всички етикети

Представяне на програмата за награди за разработчици на Beancount

· 4 минути четене
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io с вълнение обявява чисто новата програма за награди за разработчици в нашата общност! Програмата за награди за откриване на бъгове в сигурността е отворена оферта към външни лица да получат компенсация за докладване на beancount.io и мобилното приложение Beancount с отворен код на бъгове, свързани със сигурността на основната функционалност.

Нито една технология не е перфектна и ние вярваме, че работата с разработчици, инженери и технолози по целия свят е от решаващо значение за идентифицирането на слабости в нашия проект по време на разработка. Ако смятате, че сте открили проблем със сигурността в нашия продукт или услуга, насърчаваме ви да ни уведомите. Приветстваме съвместната работа с вас за бързото разрешаване на проблема.

Период на кампанията

2020-10-13-security-bug-bounty

15.10.2020 г. 17:00 PST до 30.11.2020 г. 17:00 PST

Обхват

Следните компоненти на Beancount са включени в Етап 1 на кампанията за награди за бъгове:

  1. beancount.io/ledger : Вашият личен финансов мениджър.
  2. мобилното приложение Beancount с отворен код

Стъпки за участие и докладване на бъгове

  • Ако НЕ е свързано с лична идентификационна информация (PII) и точни данни от счетоводната книга. Предоставяйте информация за бъгове чрез заявка за ПРОБЛЕМ в GitHub на адрес https://github.com/puncsky/beancount-mobile/issues/:
    • Актив. Изберете хранилището, към което е свързан бъгът, и създайте „Нов проблем“ в него.
    • Сериозност. Изберете нивото на уязвимост според „Квалифициращи уязвимости“
    • Резюме — Добавете резюме на бъга
    • Описание — Всякакви допълнителни подробности за този бъг
    • Стъпки — Стъпки за възпроизвеждане
    • Подкрепящи материали/препратки — Изходен код за възпроизвеждане, избройте всякакви допълнителни материали (напр. екранни снимки, логове и т.н.)
    • Въздействие — Какво въздействие има откритият бъг, какво би могъл да постигне нападател?
    • Вашето име, държава и Telegram ID за контакт.
  • Ако е свързано с PII и точни данни от счетоводната книга, свържете се с puncsky в Telegram и изпратете горната информация.
  • Екипът на Beancount.io ще прегледа всички бъгове и ще ви предостави обратна връзка възможно най-бързо чрез коментарите на страницата с конкретен бъг или лично чрез Telegram, ако е свързано с PII и точни данни от счетоводната книга.
  • Разпределението на наградите ще се извърши под формата на физически подарък, подаръчна карта или USDT еквивалент след приключване на кампанията около 01.12.2020 г. PST.

Квалифициращи уязвимости

За да се класира за награда, бъгът в сигурността трябва да бъде оригинален и преди това недокладван.

Само следните проблеми с дизайна или имплементацията, които съществено засягат стабилността или сигурността на Beancount.io, се квалифицират за награда. Често срещани примери включват:

  • Изтичане на PII и данни от счетоводната книга, докато хост машината не е компрометирана
  • Специално действие, което причинява спиране или срив на целия уебсайт или мобилно приложение
  • Потребител влияе на друг потребител без предварително предоставено разрешение за достъп

За сценарии, които не попадат в една от горните категории, ние все пак оценяваме докладите, които ни помагат да осигурим нашата инфраструктура и нашите потребители, и награждаваме тези доклади на индивидуална основа.

Уязвимости извън обхвата

При докладване на уязвимости, моля, вземете предвид сценария на атака, възможността за експлоатация и въздействието върху сигурността на бъга. Следните проблеми се считат за извън обхвата и НЯМА да приемаме нито един от следните видове атаки:

  • Атаки за отказ на услуга (DoS)
  • Фишинг атаки
  • Атаки чрез социално инженерство
  • Отразено изтегляне на файл
  • Разкриване на версия на софтуер
  • Проблеми, изискващи директен физически достъп
  • Проблеми, изискващи изключително малко вероятна потребителска интеракция
  • Недостатъци, засягащи остарели браузъри и плъгини
  • Публично достъпни панели за вход
  • CSV инжектиране
  • Изброяване на имейли / оракули за акаунти
  • Слабости в CSP (Content Security Policy)
  • Имейл спуфинг
  • Техники, позволяващи преглед на потребителски профилни снимки (те се считат за публични)

Награди

Наградата за най-критичния бъг, излагащ PII и данни от счетоводната книга, е AirPods Pro (в САЩ) или USDT еквивалент.

Наградата за бъг в сигурността е подаръчна карта на Amazon на стойност $20 или USDT еквивалент.

Ние сме малък екип с ограничен бюджет и можем да раздадем само

  • 1 AirPods Pro за всички.
  • 10 награди от $20 на месец, до 3 месеца. Ако действителните случаи надвишат тази сума през дадения месец, ще изпратим останалата награда през следващия месец. (общо $600 за тази кампания)

Имате въпроси?

Задайте ни ги на https://t.me/beancount

За Beancount.io

Beancount.io е мощна счетоводна система с двойно записване и отворен код, на която се доверяват финансови специалисти, разработчици и ентусиасти в областта на личните финанси. Проектиран за яснота, разширяемост и прецизност, Beancount помага на потребителите да управляват сложни финансови данни със счетоводство с обикновен текст, стабилна валидация и безпроблемни интеграции. От създаването си той дава възможност на потребителите да получат пълен контрол над своите финанси, да автоматизират отчитането и да поддържат прозрачни, проверими записи — което го прави предпочитан сред тези, които ценят простотата без компромиси.

Лого на Beancount.io