본문으로 건너뛰기

Beancount 개발자 보상 프로그램 소개

· 약 3분
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io는 커뮤니티 내 개발자를 위한 새로운 보상 프로그램을 발표하게 되어 기쁩니다! 보안 버그 현상금 프로그램은 외부 개인에게 핵심 기능의 보안과 관련된 beancount.io오픈소스 Beancount 모바일 버그를 보고하면 보상을 제공하는 공개 제안입니다.

어떤 기술도 완벽하지 않으며, 전 세계 개발자·엔지니어·기술자와 협력하여 프로젝트의 약점을 식별하는 것이 중요하다고 믿습니다. 우리 제품이나 서비스에서 보안 문제가 발견되었다면 알려주시기 바랍니다. 문제를 신속히 해결하기 위해 여러분과 협력하길 환영합니다.

캠페인 기간

2020-10-13-security-bug-bounty

2020-10-15 17:00 PST ~ 2020-11-30 17:00 PST

범위

버그 현상금 캠페인의 1단계에 포함되는 Beancount의 다음 구성 요소는 다음과 같습니다:

  1. beancount.io/ledger : 개인 재무 관리 도구.
  2. 오픈소스 Beancount 모바일

참여 및 버그 보고 절차

  • 개인 식별 정보(PII) 및 정확한 원장 데이터와 관련되지 않은 경우, https://github.com/puncsky/beancount-mobile/issues/ 에서 GitHub ISSUE 요청을 통해 버그 정보를 제공하십시오:
    • 자산. 버그와 관련된 저장소를 선택하고 “New Issue” 를 생성합니다.
    • 심각도. “Qualifying Vulnerabilities” 에 따라 취약성 수준을 선택합니다.
    • 요약 — 버그 요약을 추가합니다.
    • 설명 — 버그에 대한 추가 세부 정보를 기재합니다.
    • 재현 단계 — 재현 방법을 적습니다.
    • 지원 자료/참조 — 복제에 필요한 소스 코드, 스크린샷, 로그 등 추가 자료를 나열합니다.
    • 영향 — 발견된 버그가 어떤 영향을 미치며, 공격자가 무엇을 할 수 있는지 기술합니다.
    • 이름, 국가, Telegram ID 를 기재합니다.
  • PII 및 정확한 원장 데이터와 관련된 경우, Telegram 에서 puncsky 로 연락하고 위 정보를 전송하십시오.
  • Beancount.io 팀이 모든 버그를 검토하고, 해당 버그 페이지의 댓글 또는 PII와 관련된 경우 Telegram을 통해 가능한 한 신속히 피드백을 제공합니다.
  • 보상은 캠페인 종료 후(2020-12-01 PST 경) 물리적 선물, 기프트 카드 또는 USDT 등가물 형태로 지급됩니다.

자격 요건이 되는 취약점

보상 대상이 되려면 보안 버그가 새롭고 이전에 보고되지 않은 것이어야 합니다.

Beancount.io의 안정성 또는 보안에 실질적인 영향을 미치는 설계·구현 문제만이 보상 대상이 됩니다. 일반적인 예시는 다음과 같습니다:

  • 호스트 머신이 침해되지 않은 상태에서 PII 및 원장 데이터가 유출되는 경우
  • 전체 웹사이트 또는 모바일 앱을 중단하거나 충돌시키는 특수 행동
  • 사전 접근 권한 없이 한 사용자가 다른 사용자에게 영향을 미치는 경우

위 카테고리에 속하지 않는 시나리오라도 인프라와 사용자 보호에 도움이 되는 보고는 개별 검토 후 보상합니다.

범위 외 취약점

취약점을 보고할 때는 공격 시나리오, 활용 가능성, 보안 영향 등을 고려해 주시기 바랍니다. 다음과 같은 유형은 범위 외이며, 어떠한 경우에도 수락하지 않습니다:

  • 서비스 거부(DoS) 공격
  • 피싱 공격
  • 사회공학 공격
  • 반사 파일 다운로드
  • 소프트웨어 버전 노출
  • 물리적 직접 접근이 필요한 문제
  • 사용자의 비현실적으로 낮은 상호작용을 요구하는 문제
  • 구버전 브라우저·플러그인에만 영향을 주는 결함
  • 공개 로그인 페이지
  • CSV 인젝션
  • 이메일 열거 / 계정 오라클
  • CSP 약점
  • 이메일 스푸핑
  • 사용자 프로필 사진을 볼 수 있게 하는 기술(공개된 것으로 간주)

보상

PII 및 원장 데이터를 노출하는 가장 심각한 버그에 대한 보상은 미국 내 AirPods Pro 또는 USDT 등가물입니다.

보안 버그에 대한 보상은 $20 Amazon 기프트 카드 또는 USDT 등가물입니다.

우리는 예산이 제한된 소규모 팀이므로 다음과 같이 보상을 배분합니다:

  • 전체 참가자에게 AirPods Pro 1개
  • 매월 20보상10개씩,최대3개월지급.해당월에한도초과시남은금액은다음달에지급합니다.(이번캠페인총20 보상 10개씩, 최대 3개월 지급. 해당 월에 한도 초과 시 남은 금액은 다음 달에 지급합니다. (이번 캠페인 총 600)

질문이 있나요?

https://t.me/beancount 에서 문의해 주세요.