メインコンテンツまでスキップ

Beancount の開発者向けリワードプログラムのご紹介

· 約4分
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io は、コミュニティの 開発者向けリワードプログラム を新たに開始することを嬉しく思います! セキュリティ バグバウンティ プログラムは、外部の個人が 報告 することで報酬を受け取れるオープンオファーです。対象は beancount.ioオープンソースの Beancount mobileコア機能のセキュリティに関するバグ です。

どの技術も完璧ではなく、世界中の開発者・エンジニア・テクノロジストと協力してプロジェクトの弱点を特定しながら構築していくことが重要だと考えています。製品やサービスでセキュリティ上の問題を見つけたと思われる方は、ぜひご連絡ください。迅速に問題解決に向けて協力させていただきます。

キャンペーン期間

2020-10-13-security-bug-bounty

2020-10-15 17:00 PST 〜 2020-11-30 17:00 PST

スコープ

以下の Beancunt コンポーネントがバグバウンティキャンペーンの第 1 ステージに含まれます:

  1. beancount.io/ledger : 個人の財務管理ツール。
  2. オープンソースの Beancount mobile

参加手順とバグ報告方法

  • 個人を特定できる情報(PII)や正確な元帳データに関係 ない 場合は、GitHub ISSUE リクエスト https://github.com/puncsky/beancount-mobile/issues/ でバグ情報を提供してください:
    • アセット:バグが関連するリポジトリを選択し、「New Issue」を作成。
    • 深刻度: “Qualifying Vulnerabilities” に基づき脆弱性のレベルを選択。
    • サマリー — バグの概要を記入。
    • 説明 — バグに関する追加情報。
    • 手順 — 再現手順。
    • 補足資料/参照 — 再現用ソースコード、スクリーンショット、ログ等。
    • 影響 — 発見されたバグがもたらす影響、攻撃者が何を達成できるか。
    • 氏名、国、Telegram ID(連絡先)。
  • PII や正確な元帳データに関係 ある 場合は、Telegram の puncsky に連絡し、上記情報を送信してください。
  • Beancount.io チームは全てのバグをレビューし、該当バグのページ上のコメントまたは PII 関連の場合は Telegram でできるだけ早くフィードバックを提供します。
  • 報酬はキャンペーン終了後(2020-12-01 PST 前後)に、実物ギフト、ギフトカード、または USDT 相当で配布されます。

対象となる脆弱性

バウンティ対象となるには、セキュリティバグが オリジナルで、かつ未報告 である必要があります。

以下のような、Beancount.io の安定性またはセキュリティに実質的に影響を与える設計・実装上の問題が報酬対象です。代表的な例

  • ホストマシンが侵害されていなくても PII や元帳データが漏洩するケース
  • ウェブサイトまたはモバイルアプリ全体が停止またはクラッシュする特別な操作
  • ユーザーが事前のアクセス許可なしに別ユーザーに影響を与えるケース

上記に該当しないシナリオでも、インフラやユーザー保護に貢献する報告は ケースバイケース で評価し、報酬を検討します。

対象外脆弱性

脆弱性を報告する際は、攻撃シナリオ、実行可能性、セキュリティインパクトを考慮してください。以下の項目は対象外とし、受け付けません:

  • サービス拒否(DoS)攻撃
  • フィッシング攻撃
  • ソーシャルエンジニアリング攻撃
  • 反射型ファイルダウンロード
  • ソフトウェアバージョン情報の開示
  • 直接的な物理アクセスが必要な問題
  • 極めて起こりにくいユーザー操作が前提の問題
  • 古いブラウザやプラグインに影響する欠陥
  • 公開されているログインパネル
  • CSV インジェクション
  • メール列挙/アカウントオラクル
  • CSP の弱点
  • メールなりすまし
  • ユーザープロフィール画像の閲覧を可能にする手法(これらは公開情報とみなす)

報酬

PII と元帳データを露出させる最も重大なバグ の報酬は、米国在住者向けの AirPods Pro または USDT 相当です。

セキュリティバグ の報酬は、20 米ドル相当の Amazon ギフトカードまたは USDT 相当です。

予算が限られた小規模チームのため、配布できる報酬は以下の通りです:

  • 全員に 1 台の AirPods Pro を提供。
  • 月に 10 件の 20 米ドル報酬を最大 3 ヶ月間提供。対象月に上限を超える報告があった場合は、残りの報酬を翌月に繰り越します。(本キャンペーン合計 600 米ドル)

ご質問がありますか?

https://t.me/beancount までお問い合わせください

Share on Twitter

Beancount.io を始めよう

オープンソースの複式簿記システムで財務を管理しましょう。今すぐあなたの台帳を始めましょう。

無料で始める価格を見る
Beancount.io ロゴ

Getting Started

Features

Community

Legal

Beancount.io© 2019 - 2025 Beancount.io
Built with transparency • Version controlled • AI-powered