Présentation du programme de récompenses pour développeurs de Beancount
Beancount.io est ravi d'annoncer le tout nouveau programme de récompenses pour les développeurs de notre communauté ! Un programme de primes aux bogues de sécurité est une offre ouverte aux individus externes pour recevoir une compensation en échange du signalement de bogues liés à la sécurité des fonctionnalités principales de beancount.io et de Beancount mobile open source.
Aucune technologie n'est parfaite, et nous pensons que travailler avec des développeurs, des ingénieurs et des technologues du monde entier est crucial pour identifier les faiblesses de notre projet pendant sa construction. Si vous pensez avoir trouvé un problème de sécurité dans notre produit ou service, nous vous encourageons à nous en informer. Nous serons ravis de collaborer avec vous pour résoudre le problème rapidement.
Période de la campagne
Du 2020-10-15 17:00 PST au 2020-11-30 17:00 PST
Périmètre
Les composants suivants de Beancount sont inclus dans la 1ère phase de la campagne de primes aux bogues :
- beancount.io/ledger : Votre gestionnaire de finances personnelles.
- Beancount mobile open source
Étapes pour participer et signaler les bogues
- Si le problème n'est PAS lié aux informations personnellement identifiables (IPI) et aux données exactes du grand livre. Fournissez les informations sur les bogues via une demande d'ISSUE GitHub sur https://github.com/puncsky/beancount-mobile/issues/ :
- Actif. Choisissez le dépôt auquel le bogue est lié et créez une « Nouvelle Issue » dedans.
- Gravité. Choisissez le niveau de vulnérabilité selon les « Vulnérabilités éligibles ».
- Résumé — Ajoutez un résumé du bogue.
- Description — Tout détail supplémentaire sur ce bogue.
- Étapes — Étapes pour reproduire.
- Matériel/Références complémentaires — Code source pour reproduire, listez tout matériel additionnel (par ex., captures d'écran, journaux, etc.).
- Impact — Quel est l'impact du bogue trouvé, que pourrait accomplir un attaquant ?
- Votre nom, pays et identifiant Telegram pour contact.
- Si le problème est lié aux IPI et aux données exactes du grand livre, contactez puncsky sur Telegram et envoyez les informations ci-dessus.
- L'équipe Beancount.io examinera tous les bogues et vous fournira des retours aussi rapidement que possible via les commentaires sur la page du bogue spécifique ou via Telegram en personne si le problème est lié aux IPI et aux données exactes du grand livre.
- La distribution des récompenses sera effectuée sous forme de cadeau physique, de carte cadeau ou d'équivalent USDT après la fin de la campagne, aux alentours du 2020-12-01 PST.
Vulnérabilités éligibles
Pour être éligible à la prime, le bogue de sécurité doit être original et non signalé auparavant.
Seuls les problèmes de conception ou d'implémentation suivants, qui affectent substantiellement la stabilité ou la sécurité de Beancount.io, sont éligibles à la récompense. Les exemples courants incluent :
- Fuite des IPI et des données du grand livre alors que la machine hôte n'est pas compromise.
- Une action spéciale qui provoque la suspension ou le plantage de l'ensemble du site web ou de l'application mobile.
- Un utilisateur impacte un autre utilisateur sans autorisation d'accès préalable.
Pour les scénarios qui ne relèvent pas des catégories ci-dessus, nous apprécions néanmoins les signalements qui nous aident à sécuriser notre infrastructure et nos utilisateurs, et nous récompensons ces signalements au cas par cas.
Vulnérabilités hors périmètre
Lors du signalement de vulnérabilités, veuillez prendre en compte le scénario d'attaque, l'exploitabilité et l'impact sur la sécurité du bogue. Les problèmes suivants sont considérés hors périmètre, et nous n'accepterons AUCUN des types d'attaques suivants :
- Attaques par déni de service
- Attaques par hameçonnage
- Attaques d'ingénierie sociale
- Téléchargement de fichier réfléchi
- Divulgation de version logicielle
- Problèmes nécessitant un accès physique direct
- Problèmes nécessitant une interaction utilisateur extrêmement improbable
- Failles affectant les navigateurs et plugins obsolètes
- Panneaux de connexion accessibles publiquement
- Injection CSV
- Énumération d'e-mails / oracles de compte
- Faiblesses CSP
- Usurpation d'e-mail
- Techniques permettant de visualiser les photos de profil des utilisateurs (celles-ci sont considérées comme publiques)
Récompenses
Le prix pour le bogue le plus critique exposant les IPI et les données du grand livre est une paire d'AirPods Pro (aux États-Unis) ou l'équivalent en USDT.
Le prix pour un bogue de sécurité est une carte cadeau Amazon de 20 $ ou l'équivalent en USDT.
Nous sommes une petite équipe avec un budget limité et ne pouvons distribuer que :
- 1 paire d'AirPods Pro au total.
- 10 récompenses de 20 $ par mois, jusqu'à 3 mois. Si le nombre de cas réels dépasse ce montant au cours d'un mois donné, nous enverrons la récompense restante le mois suivant. (600 $ au total pour cette campagne)
Des questions ?
Posez-nous vos questions sur https://t.me/beancount
