2 publicaciones con la etiqueta "seguridad"

Mantener un servicio en línea seguro y de alto rendimiento nunca es algo puntual. Requiere esfuerzo no solo para desarrollar nuevas funcionalidades, sino también para renovar las existentes.

El software obsoleto expone a nuestros clientes a riesgos de vulnerabilidades de seguridad. ¿Cómo reducimos este riesgo? Por un lado, trabajamos proactivamente con investigadores de seguridad para encontrar y resolver problemas inesperados. Por otro lado, fusionamos periódicamente la última versión del software de origen.

Hoy nos complace compartir algunas mejoras que hemos realizado en Beancount.io.

1. Hemos actualizado el servidor y acelerado el servicio hasta en un 30%. La disponibilidad del servicio también ha mejorado considerablemente.
2. Hemos actualizado el software de código abierto con licencia MIT Fava a la versión 1.17. Se corrigieron varios errores y se añadieron muchas características nuevas.

¿Te sientes emocionado? Pruébalo ahora en https://beancount.io/ledger/

¿Tienes preguntas? Estaremos ahí para ayudarte en https://t.me/beancount :)

¡Beancount.io se complace en anunciar el nuevo programa de recompensas para desarrolladores en nuestra comunidad! Un programa de recompensa por errores de seguridad es una oferta abierta a individuos externos para recibir compensación por reportar errores en beancount.io y Beancount mobile de código abierto relacionados con la seguridad de la funcionalidad principal.

Ninguna tecnología es perfecta, y creemos que trabajar con desarrolladores, ingenieros y tecnólogos de todo el mundo es crucial para identificar debilidades en nuestro proyecto mientras construimos. Si cree que ha encontrado un problema de seguridad en nuestro producto o servicio, le animamos a que nos lo notifique. Estaremos encantados de trabajar con usted para resolver el problema con prontitud.

Período de la Campaña​

Del 15 de octubre de 2020 a las 17:00 PST al 30 de noviembre de 2020 a las 17:00 PST

Alcance​

Los siguientes componentes de Beancount están incluidos en la 1ª Etapa de la Campaña de Recompensa por Errores:

1. beancount.io/ledger : Su gestor de finanzas personales.
2. Beancount mobile de código abierto

Pasos para participar y reportar errores​

• Si NO está relacionado con información de identificación personal (IIP) y datos exactos del libro mayor. Proporcione información sobre los errores a través de la solicitud de ISSUE de GitHub en https://github.com/puncsky/beancount-mobile/issues/:
  • Activo. Elija el repositorio al que está relacionado el error y cree una “Nueva Incidencia” en él.
  • Gravedad. Elija el nivel de vulnerabilidad según las “Vulnerabilidades Elegibles”.
  • Resumen — Añada un resumen del error.
  • Descripción — Cualquier detalle adicional sobre este error.
  • Pasos — Pasos para reproducir.
  • Material de Apoyo/Referencias — Código fuente para replicar, liste cualquier material adicional (por ejemplo, capturas de pantalla, registros, etc.).
  • Impacto — ¿Qué impacto tiene el error encontrado, qué podría lograr un atacante?
  • Su nombre, país e ID de Telegram para contacto.
• Si está relacionado con IIP y datos exactos del libro mayor, contacte a puncsky en Telegram y envíe la información anterior.
• El equipo de Beancount.io revisará todos los errores y le proporcionará comentarios lo más rápido posible a través de los comentarios en la página con un error específico o a través de Telegram en persona si está relacionado con IIP y datos exactos del libro mayor.
• La distribución de las recompensas se realizará en Regalo Físico, Tarjeta de Regalo o equivalente en USDT una vez finalizada la campaña, alrededor del 1 de diciembre de 2020 PST.

Vulnerabilidades elegibles​

Para calificar para la recompensa, el error de seguridad debe ser original y no haber sido reportado previamente.

Solo los siguientes problemas de diseño o implementación que afecten sustancialmente la estabilidad o seguridad de Beancount.io califican para la recompensa. Ejemplos comunes incluyen:

• Fuga de IIP y datos del libro mayor mientras la máquina anfitriona no está comprometida.
• Una acción especial que cause la suspensión o el bloqueo de todo el sitio web o la aplicación móvil.
• Un usuario impacta a otro usuario sin una concesión de acceso previa.

Para escenarios que no se encuadran en una de las categorías anteriores, aún apreciamos los informes que nos ayudan a asegurar nuestra infraestructura y a nuestros usuarios, y recompensamos esos informes caso por caso.

Vulnerabilidades fuera de alcance​

Al reportar vulnerabilidades, por favor considere el escenario de ataque, la explotabilidad y el impacto de seguridad del error. Los siguientes problemas se consideran fuera de alcance, y NO aceptaremos ninguno de los siguientes tipos de ataques:

• Ataques de denegación de servicio.
• Ataques de phishing.
• Ataques de ingeniería social.
• Descarga de archivos reflejada.
• Divulgación de la versión del software.
• Problemas que requieren acceso físico directo.
• Problemas que requieren una interacción del usuario extremadamente improbable.
• Fallos que afectan a navegadores y complementos desactualizados.
• Paneles de inicio de sesión de acceso público.
• Inyección CSV.
• Enumeración de correos electrónicos / oráculos de cuentas.
• Debilidades de CSP.
• Suplantación de correo electrónico.
• Técnicas que le permiten ver fotos de perfil de usuario (estas se consideran públicas).

Recompensas​

El premio para el error más crítico que exponga IIP y datos del libro mayor es un AirPods Pro (en EE. UU.) o su equivalente en USDT.

El premio para un error de seguridad es una Tarjeta de Regalo de Amazon de $20 o su equivalente en USDT.

Somos un equipo pequeño con un presupuesto limitado y solo podemos distribuir:

• 1 AirPods Pro para todos.
• 10 recompensas de $20 por mes, hasta 3 meses. Si el caso real excede esa cantidad en ese mes, enviaremos la recompensa restante en el mes siguiente. ($600 en total para esta campaña).

¿Tiene preguntas?​

Pregúntenos en https://t.me/beancount