Beancount.io는 커뮤니티 내 개발자를 위한 새로운 보상 프로그램을 발표하게 되어 기쁩니다! 보안 버그 현상금 프로그램은 외부 개인에게 핵심 기능의 보안과 관련된 beancount.io 및 오픈소스 Beancount 모바일 버그를 보고하면 보상을 제공하는 공개 제안입니다.
어떤 기술도 완벽하지 않으며, 전 세계 개발자·엔지니어·기술자와 협력하여 프로젝트의 약점을 식별하는 것이 중요하다고 믿습니다. 우리 제품이나 서비스에서 보안 문제가 발견되었다면 알려주시기 바랍니다. 문제를 신속히 해결하기 위해 여러분과 협력하길 환영합니다.
캠페인 기간

2020-10-15 17:00 PST ~ 2020-11-30 17:00 PST
버그 현상금 캠페인의 1단계에 포함되는 Beancount의 다음 구성 요소는 다음과 같습니다:
- beancount.io/ledger : 개인 재무 관리 도구.
- 오픈소스 Beancount 모바일
참여 및 버그 보고 절차
- 개인 식별 정보(PII) 및 정확한 원장 데이터와 관련되지 않은 경우, https://github.com/puncsky/beancount-mobile/issues/ 에서 GitHub ISSUE 요청을 통해 버그 정보를 제공하십시오:
- 자산. 버그와 관련된 저장소를 선택하고 “New Issue” 를 생성합니다.
- 심각도. “Qualifying Vulnerabilities” 에 따라 취약성 수준을 선택합니다.
- 요약 — 버그 요약을 추가합니다.
- 설명 — 버그에 대한 추가 세부 정보를 기재합니다.
- 재현 단계 — 재현 방법을 적습니다.
- 지원 자료/참조 — 복제에 필요한 소스 코드, 스크린샷, 로그 등 추가 자료를 나열합니다.
- 영향 — 발견된 버그가 어떤 영향을 미치며, 공격자가 무엇을 할 수 있는지 기술합니다.
- 이름, 국가, Telegram ID 를 기재합니다.
- PII 및 정확한 원장 데이터와 관련된 경우, Telegram 에서 puncsky 로 연락하고 위 정보를 전송하십시오.
- Beancount.io 팀이 모든 버그를 검토하고, 해당 버그 페이지의 댓글 또는 PII와 관련된 경우 Telegram을 통해 가능한 한 신속히 피드백을 제공합니다.
- 보상은 캠페인 종료 후(2020-12-01 PST 경) 물리적 선물, 기프트 카드 또는 USDT 등가물 형태로 지급됩니다.
자격 요건이 되는 취약점
보상 대상이 되려면 보안 버그가 새롭고 이전에 보고되지 않은 것이어야 합니다.
Beancount.io의 안정성 또는 보안에 실질적인 영향을 미치는 설계·구현 문제만이 보상 대상이 됩니다. 일반적인 예시는 다음과 같습니다:
- 호스트 머신이 침해되지 않은 상태에서 PII 및 원장 데이터가 유출되는 경우
- 전체 웹사이트 또는 모바일 앱을 중단하거나 충돌시키는 특수 행동
- 사전 접근 권한 없이 한 사용자가 다른 사용자에게 영향을 미치는 경우
위 카테고리에 속하지 않는 시나리오라도 인프라와 사용자 보호에 도움이 되는 보고는 개별 검토 후 보상합니다.
범위 외 취약점