"보안" 태그로 연결된 2개 게시물개의 게시물이 있습니다.

보안이 강화되고 성능이 뛰어난 온라인 서비스를 유지하는 일은 일회성 작업이 아닙니다. 새로운 기능을 개발하는 것뿐만 아니라 기존 기능을 갱신하는 데에도 노력이 필요합니다.

오래된 소프트웨어는 고객을 보안 취약점 위험에 노출시킵니다. 이 위험을 어떻게 줄일 수 있을까요? 한편으로는, 우리는 보안 연구원들과 적극적으로 협력하여 예상치 못한 문제를 찾아 해결합니다. 다른 한편으로는, 정기적으로 상위 소프트웨어의 최신 버전을 병합합니다.

오늘은 Beancount.io를 개선하기 위해 우리가 만든 몇 가지 향상을 공유하게 되어 기쁩니다.

1. 서버를 업그레이드하여 서비스 속도를 최대 30%까지 높였습니다. 서비스 가용성 또한 크게 개선되었습니다.
2. MIT 라이선스 오픈소스 소프트웨어인 Fava를 버전 1.17로 업그레이드했습니다. 다양한 버그가 수정되고 많은 새로운 기능이 추가되었습니다.

흥미롭나요? 지금 바로 https://beancount.io/ledger/에서 사용해 보세요.

궁금한 점이 있나요? https://t.me/beancount 에서 언제든지 도와드리겠습니다 :)

Beancount.io는 커뮤니티 내 개발자를 위한 새로운 보상 프로그램을 발표하게 되어 기쁩니다! 보안 버그 현상금 프로그램은 외부 개인에게 핵심 기능의 보안과 관련된 beancount.io 및 오픈소스 Beancount 모바일 버그를 보고하면 보상을 제공하는 공개 제안입니다.

어떤 기술도 완벽하지 않으며, 전 세계 개발자·엔지니어·기술자와 협력하여 프로젝트의 약점을 식별하는 것이 중요하다고 믿습니다. 우리 제품이나 서비스에서 보안 문제가 발견되었다면 알려주시기 바랍니다. 문제를 신속히 해결하기 위해 여러분과 협력하길 환영합니다.

캠페인 기간​

2020-10-15 17:00 PST ~ 2020-11-30 17:00 PST

범위​

버그 현상금 캠페인의 1단계에 포함되는 Beancount의 다음 구성 요소는 다음과 같습니다:

1. beancount.io/ledger : 개인 재무 관리 도구.
2. 오픈소스 Beancount 모바일

참여 및 버그 보고 절차​

• 개인 식별 정보(PII) 및 정확한 원장 데이터와 관련되지 않은 경우, https://github.com/puncsky/beancount-mobile/issues/ 에서 GitHub ISSUE 요청을 통해 버그 정보를 제공하십시오:
  • 자산. 버그와 관련된 저장소를 선택하고 “New Issue” 를 생성합니다.
  • 심각도. “Qualifying Vulnerabilities” 에 따라 취약성 수준을 선택합니다.
  • 요약 — 버그 요약을 추가합니다.
  • 설명 — 버그에 대한 추가 세부 정보를 기재합니다.
  • 재현 단계 — 재현 방법을 적습니다.
  • 지원 자료/참조 — 복제에 필요한 소스 코드, 스크린샷, 로그 등 추가 자료를 나열합니다.
  • 영향 — 발견된 버그가 어떤 영향을 미치며, 공격자가 무엇을 할 수 있는지 기술합니다.
  • 이름, 국가, Telegram ID 를 기재합니다.
• PII 및 정확한 원장 데이터와 관련된 경우, Telegram 에서 puncsky 로 연락하고 위 정보를 전송하십시오.
• Beancount.io 팀이 모든 버그를 검토하고, 해당 버그 페이지의 댓글 또는 PII와 관련된 경우 Telegram을 통해 가능한 한 신속히 피드백을 제공합니다.
• 보상은 캠페인 종료 후(2020-12-01 PST 경) 물리적 선물, 기프트 카드 또는 USDT 등가물 형태로 지급됩니다.

자격 요건이 되는 취약점​

보상 대상이 되려면 보안 버그가 새롭고 이전에 보고되지 않은 것이어야 합니다.

Beancount.io의 안정성 또는 보안에 실질적인 영향을 미치는 설계·구현 문제만이 보상 대상이 됩니다. 일반적인 예시는 다음과 같습니다:

• 호스트 머신이 침해되지 않은 상태에서 PII 및 원장 데이터가 유출되는 경우
• 전체 웹사이트 또는 모바일 앱을 중단하거나 충돌시키는 특수 행동
• 사전 접근 권한 없이 한 사용자가 다른 사용자에게 영향을 미치는 경우

위 카테고리에 속하지 않는 시나리오라도 인프라와 사용자 보호에 도움이 되는 보고는 개별 검토 후 보상합니다.

범위 외 취약점​

취약점을 보고할 때는 공격 시나리오, 활용 가능성, 보안 영향 등을 고려해 주시기 바랍니다. 다음과 같은 유형은 범위 외이며, 어떠한 경우에도 수락하지 않습니다:

• 서비스 거부(DoS) 공격
• 피싱 공격
• 사회공학 공격
• 반사 파일 다운로드
• 소프트웨어 버전 노출
• 물리적 직접 접근이 필요한 문제
• 사용자의 비현실적으로 낮은 상호작용을 요구하는 문제
• 구버전 브라우저·플러그인에만 영향을 주는 결함
• 공개 로그인 페이지
• CSV 인젝션
• 이메일 열거 / 계정 오라클
• CSP 약점
• 이메일 스푸핑
• 사용자 프로필 사진을 볼 수 있게 하는 기술(공개된 것으로 간주)

보상​

PII 및 원장 데이터를 노출하는 가장 심각한 버그에 대한 보상은 미국 내 AirPods Pro 또는 USDT 등가물입니다.

보안 버그에 대한 보상은 $20 Amazon 기프트 카드 또는 USDT 등가물입니다.

우리는 예산이 제한된 소규모 팀이므로 다음과 같이 보상을 배분합니다:

• 전체 참가자에게 AirPods Pro 1개
• 매월 $20 보상 10개씩, 최대 3개월 지급. 해당 월에 한도 초과 시 남은 금액은 다음 달에 지급합니다. (이번 캠페인 총$600)

질문이 있나요?​

https://t.me/beancount 에서 문의해 주세요.