Zum Hauptinhalt springen

Einführung des Beancount Entwickler-Belohnungsprogramms

· 4 Minuten Lesezeit
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io freut sich, das brandneue Belohnungsprogramm für Entwickler in unserer Community bekannt zu geben! Ein Sicherheits-Bug-Bounty-Programm ist ein offenes Angebot an externe Personen, eine Vergütung für das Melden von beancount.io und Open-Source Beancount mobile Bugs im Zusammenhang mit der Sicherheit der Kernfunktionalität zu erhalten.

Keine Technologie ist perfekt, und wir glauben, dass die Zusammenarbeit mit Entwicklern, Ingenieuren und Technologen weltweit entscheidend ist, um Schwachstellen in unserem Projekt während der Entwicklung zu identifizieren. Wenn Sie der Meinung sind, dass Sie ein Sicherheitsproblem in unserem Produkt oder unserer Dienstleistung gefunden haben, bitten wir Sie, uns dies mitzuteilen. Wir freuen uns auf die Zusammenarbeit mit Ihnen, um das Problem umgehend zu beheben.

Kampagnenzeitraum

2020-10-13-security-bug-bounty

15.10.2020 17:00 PST bis 30.11.2020 17:00 PST

Umfang

Die folgenden Beancount-Komponenten sind in der 1. Phase der Bug-Bounty-Kampagne enthalten:

  1. beancount.io/ledger : Ihr persönlicher Finanzmanager.
  2. Open-Source Beancount mobile

Schritte zur Teilnahme und Fehlerberichterstattung

  • Wenn es NICHT um personenbezogene Daten (PII) und genaue Ledger-Daten geht. Geben Sie Informationen zu Fehlern über die GitHub Issue-Anfrage unter https://github.com/puncsky/beancount-mobile/issues/ an:
    • Asset. Wählen Sie das Repository aus, auf das sich der Fehler bezieht, und erstellen Sie darin ein „Neues Issue“.
    • Schweregrad. Wählen Sie den Schwachstellen-Grad gemäß „Qualifizierende Schwachstellen“
    • Zusammenfassung — Fügen Sie eine Zusammenfassung des Fehlers hinzu
    • Beschreibung — Alle zusätzlichen Details zu diesem Fehler
    • Schritte — Schritte zur Reproduktion
    • Unterstützendes Material/Referenzen — Quellcode zur Reproduktion, Liste aller zusätzlichen Materialien (z. B. Screenshots, Logs usw.)
    • Auswirkung — Welche Auswirkung hat der gefundene Fehler, was könnte ein Angreifer erreichen?
    • Ihr Name, Land und Ihre Telegram-ID für die Kontaktaufnahme.
  • Wenn es um PII und genaue Ledger-Daten geht, kontaktieren Sie puncsky auf Telegram und senden Sie die oben genannten Informationen.
  • Das Beancount.io-Team wird alle Fehler überprüfen und Ihnen so schnell wie möglich Feedback über die Kommentare auf der Seite mit einem spezifischen Fehler oder persönlich über Telegram geben, wenn es sich um PII und genaue Ledger-Daten handelt.
  • Die Verteilung der Belohnungen erfolgt in Form von physischen Geschenken, Geschenkkarten oder USDT-Äquivalenten, nachdem die Kampagne um den 01.12.2020 PST abgeschlossen ist.

Qualifizierende Schwachstellen

Um sich für die Belohnung zu qualifizieren, muss der Sicherheitsfehler originell und zuvor ungemeldet sein.

Nur die folgenden Design- oder Implementierungsprobleme, die die Stabilität oder Sicherheit von Beancount.io wesentlich beeinträchtigen, qualifizieren sich für die Belohnung. Häufige Beispiele sind:

  • Leck von PII und Ledger-Daten, während der Host-Rechner nicht kompromittiert ist
  • Eine spezielle Aktion, die dazu führt, dass die gesamte Website oder mobile App abstürzt oder sich aufhängt
  • Ein Benutzer beeinflusst einen anderen Benutzer ohne vorherige Zugriffsberechtigung

Für Szenarien, die nicht in eine der oben genannten Kategorien fallen, schätzen wir dennoch Berichte, die uns helfen, unsere Infrastruktur und unsere Benutzer zu sichern, und belohnen diese Berichte fallweise.

Außerhalb des Umfangs liegende Schwachstellen

Berücksichtigen Sie bei der Meldung von Schwachstellen das Angriffsszenario, die Ausnutzbarkeit und die Sicherheitsauswirkungen des Fehlers. Die folgenden Probleme werden als außerhalb des Umfangs liegend betrachtet, und wir werden KEINE der folgenden Angriffsarten akzeptieren:

  • Denial-of-Service-Angriffe
  • Phishing-Angriffe
  • Social-Engineering-Angriffe
  • Reflected File Download
  • Offenlegung der Softwareversion
  • Probleme, die direkten physischen Zugriff erfordern
  • Probleme, die eine extrem unwahrscheinliche Benutzerinteraktion erfordern
  • Fehler, die veraltete Browser und Plugins betreffen
  • Öffentlich zugängliche Login-Panels
  • CSV-Injection
  • E-Mail-Enumeration / Konto-Orakel
  • CSP-Schwachstellen
  • E-Mail-Spoofing
  • Techniken, die es Ihnen ermöglichen, Benutzerprofilfotos anzuzeigen (diese gelten als öffentlich)

Belohnungen

Der Preis für den kritischsten Fehler, der PII und Ledger-Daten offenlegt, ist ein AirPods Pro (in den USA) oder ein USDT-Äquivalent.

Der Preis für einen Sicherheitsfehler ist eine 20 $-Amazon-Geschenkkarte oder ein USDT-Äquivalent.

Wir sind ein kleines Team mit begrenztem Budget und können nur Folgendes verteilen:

  • 1 AirPods Pro für alle.
  • 10 Belohnungen zu je 20 $ pro Monat, bis zu 3 Monate lang. Wenn die tatsächliche Anzahl in diesem Monat diesen Betrag übersteigt, senden wir die restliche Belohnung im nächsten Monat. (Insgesamt 600 $ für diese Kampagne)

Fragen?

Fragen Sie uns unter https://t.me/beancount

Share on Twitter

Über Beancount.io

Beancount.io ist ein leistungsstarkes, quelloffenes doppeltes Buchführungssystem, dem Finanzexperten, Entwickler und Privatfinanz-Enthusiasten gleichermaßen vertrauen. Beancount wurde für Klarheit, Erweiterbarkeit und Präzision entwickelt und hilft Benutzern, komplexe Finanzdaten mit reiner Textbuchhaltung, robuster Validierung und nahtlosen Integrationen zu verwalten. Seit seiner Einführung hat es Benutzern ermöglicht, die volle Kontrolle über ihre Finanzen zu erlangen, die Berichterstattung zu automatisieren und transparente, prüffähige Aufzeichnungen zu führen – was es zu einem Favoriten unter denen macht, die Kompromisslosigkeit bei der Einfachheit schätzen.

Beancount.io-Logo