Salta al contingut principal

Una publicació etiquetades amb "divulgació de vulnerabilitats"

Veure totes les etiquetes

Presentem el Programa de Recompenses per a Desenvolupadors de Beancount

· 4 minuts de lectura
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io es complau a anunciar el nou programa de recompenses per a desenvolupadors de la nostra comunitat! Un programa de recompenses per errors de seguretat (Security Bug Bounty) és una oferta oberta a individus externs per rebre compensació per informar d'errors de beancount.io i de Beancount mobile de codi obert relacionats amb la seguretat de la funcionalitat principal.

Cap tecnologia és perfecta, i creiem que treballar amb desenvolupadors, enginyers i tecnòlegs de tot el món és crucial per identificar les debilitats del nostre projecte mentre el construïm. Si creieu que heu trobat un problema de seguretat en el nostre producte o servei, us animem a notificar-nos-ho. Estem encantats de col·laborar amb vosaltres per resoldre el problema ràpidament.

Període de la Campanya

2020-10-13-security-bug-bounty

2020-10-15 17:00 PST to 2020-11-30 17:00 PST

Abast

Els següents components de Beancount estan inclosos en la 1a Fase de la Campanya de Recompenses per Errors:

  1. beancount.io/ledger : El vostre gestor de finances personals.
  2. Beancount mobile de codi obert

Passos per participar i informar d'errors

  • Si NO està relacionat amb informació d'identificació personal (PII) i dades exactes del llibre major. Proporcioneu informació sobre els errors mitjançant la sol·licitud d'INCIDÈNCIA de GitHub a https://github.com/puncsky/beancount-mobile/issues/:
    • Actiu. Trieu el repositori al qual està relacionat l'error i creeu una "Nova incidència" (New Issue) en ell.
    • Gravetat. Trieu el nivell de vulnerabilitat segons les "Vulnerabilitats qualificades".
    • Resum — Afegiu un resum de l'error
    • Descripció — Qualsevol detall addicional sobre aquest error
    • Passos — Passos per reproduir
    • Material de suport/Referències — Codi font per replicar, llisteu qualsevol material addicional (p. ex., captures de pantalla, registres, etc.)
    • Impacte — Quin impacte té l'error trobat, què podria aconseguir un atacant?
    • El vostre nom, país i identificador de Telegram per contactar.
  • Si està relacionat amb PII i dades exactes del llibre major, contacteu amb puncsky a Telegram i envieu la informació anterior.
  • L'equip de Beancount.io revisarà tots els errors i us proporcionarà retroalimentació el més ràpidament possible mitjançant els comentaris a la pàgina amb un error específic o via Telegram en persona si està relacionat amb PII i dades exactes del llibre major.
  • La distribució de les recompenses es realitzarà en Regal Físic, Targeta Regal o equivalent en USDT un cop finalitzi la campanya, al voltant de l'1 de desembre de 2020 PST.

Vulnerabilitats qualificades

Per qualificar per a la recompensa, l'error de seguretat ha de ser original i no haver estat informat prèviament.

Només els següents problemes de disseny o implementació que afectin substancialment l'estabilitat o la seguretat de Beancount.io es qualifiquen per a la recompensa. Exemples comuns inclouen:

  • Fuga de PII i dades del llibre major mentre la màquina host no està compromesa
  • Una acció especial que provoca la suspensió o el bloqueig de tot el lloc web o l'aplicació mòbil
  • Un usuari impacta un altre usuari sense una concessió d'accés prèvia

Per a escenaris que no s'inclouen en una de les categories anteriors, seguim agraint els informes que ens ajuden a protegir la nostra infraestructura i els nostres usuaris, i recompensem aquests informes cas per cas.

Vulnerabilitats fora d'abast

En informar de vulnerabilitats, tingueu en compte l'escenari d'atac, l'explotabilitat i l'impacte de seguretat de l'error. Els següents problemes es consideren fora d'abast, i NO acceptarem cap dels següents tipus d'atacs:

  • Atacs de denegació de servei
  • Atacs de suplantació d'identitat (phishing)
  • Atacs d'enginyeria social
  • Descàrrega de fitxers reflectida
  • Divulgació de la versió del programari
  • Problemes que requereixen accés físic directe
  • Problemes que requereixen una interacció de l'usuari extremadament improbable
  • Falles que afecten navegadors i connectors obsolets
  • Panells d'inici de sessió accessibles públicament
  • Injecció CSV
  • Enumeració de correus electrònics / oracles de comptes
  • Debilitats de CSP
  • Suplantació de correu electrònic
  • Tècniques que permeten veure fotos de perfil d'usuari (aquestes es consideren públiques)

Recompenses

El premi per a l'error més crític que exposi PII i dades del llibre major és uns AirPods Pro (als EUA) o l'equivalent en USDT.

El premi per a un error de seguretat és una Targeta Regal d'Amazon de 20 $ o l'equivalent en USDT.

Som un equip petit amb un pressupost limitat i només podem distribuir:

  • 1 AirPods Pro per a tots.
  • 10 recompenses de 20 $ al mes, fins a 3 mesos. Si el cas real supera aquesta quantitat en un mes, enviarem la recompensa restant el mes següent. (600 $ en total per a aquesta campanya)

Teniu preguntes?

Pregunteu-nos a https://t.me/beancount

Sobre Beancount.io

Beancount.io és un potent sistema de comptabilitat de partida doble de codi obert en el qual confien professionals de les finances, desenvolupadors i entusiastes de les finances personals per igual. Dissenyat per a la claredat, l'extensibilitat i la precisió, Beancount ajuda els usuaris a gestionar dades financeres complexes amb comptabilitat en text pla, una validació robusta i integracions fluides. Des dels seus inicis, ha permès als usuaris obtenir un control total sobre les seves finances, automatitzar informes i mantenir registres transparents i auditables, la qual cosa el converteix en un favorit entre aquells que valoren la simplicitat sense compromisos.

Logotip de Beancount.io