Pular para o conteúdo principal

Uma postagem marcado com "incentivos para desenvolvedores"

Ver todas as tags

Apresentando o Programa de Recompensas para Desenvolvedores do Beancount

· 4 min de leitura
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io tem o prazer de anunciar o novíssimo programa de recompensas para desenvolvedores em nossa comunidade! Um programa de Recompensa por Bugs de Segurança (Security Bug Bounty) é uma oferta aberta a indivíduos externos para receberem compensação por relatar bugs em beancount.io e no Beancount mobile de código aberto relacionados à segurança da funcionalidade principal.

Nenhuma tecnologia é perfeita, e acreditamos que trabalhar com desenvolvedores, engenheiros e tecnólogos em todo o mundo é crucial para identificar fraquezas em nosso projeto durante o desenvolvimento. Se você acredita ter encontrado um problema de segurança em nosso produto ou serviço, nós o encorajamos a nos notificar. Teremos prazer em trabalhar com você para resolver o problema prontamente.

Período da Campanha

2020-10-13-security-bug-bounty

2020-10-15 17:00 PST a 2020-11-30 17:00 PST

Escopo

Os seguintes componentes do Beancount estão incluídos na 1ª Etapa da Campanha de Recompensa por Bugs:

  1. beancount.io/ledger : Seu gerenciador de finanças pessoais.
  2. Beancount mobile de código aberto

Passos para participar e relatar bugs

  • Se NÃO estiver relacionado a informações de identificação pessoal (PII) e dados exatos do livro-razão (ledger). Forneça informações sobre os bugs através da solicitação de ISSUE no GitHub em https://github.com/puncsky/beancount-mobile/issues/:
    • Ativo. Escolha o repositório ao qual o bug está relacionado e crie uma “Nova Issue” nele.
    • Gravidade. Escolha o nível de vulnerabilidade de acordo com “Vulnerabilidades Qualificadas”.
    • Resumo — Adicione um resumo do bug.
    • Descrição — Quaisquer detalhes adicionais sobre este bug.
    • Passos — Passos para reproduzir.
    • Material de Apoio/Referências — Código-fonte para replicar, liste qualquer material adicional (por exemplo, capturas de tela, logs, etc.).
    • Impacto — Qual o impacto do bug encontrado, o que um atacante poderia conseguir?
    • Seu nome, país e ID do Telegram para contato.
  • Se estiver relacionado a PII e dados exatos do livro-razão (ledger), entre em contato com puncsky no Telegram e envie as informações acima.
  • A equipe Beancount.io revisará todos os bugs e fornecerá feedback o mais rápido possível através dos comentários na página com um bug específico ou via Telegram pessoalmente, se estiver relacionado a PII e dados exatos do livro-razão (ledger).
  • A distribuição das recompensas será realizada em Presente Físico, Cartão Presente ou equivalente em USDT após o término da campanha, por volta de 01 de dezembro de 2020 PST.

Vulnerabilidades qualificadas

Para se qualificar para a recompensa, o bug de segurança deve ser original e não relatado anteriormente.

Apenas os seguintes problemas de design ou implementação que afetam substancialmente a estabilidade ou segurança do Beancount.io são qualificados para a recompensa. Exemplos comuns incluem:

  • Vazamento de PII e dados do livro-razão (ledger) enquanto a máquina host não está comprometida.
  • Uma ação especial que faz com que todo o site ou aplicativo móvel seja suspenso ou trave.
  • Um usuário impacta outro usuário sem concessão de acesso prévia.

Para cenários que não se enquadram em uma das categorias acima, ainda agradecemos os relatórios que nos ajudam a proteger nossa infraestrutura e nossos usuários e recompensamos esses relatórios em uma base caso a caso.

Vulnerabilidades Fora do Escopo

Ao relatar vulnerabilidades, considere o cenário de ataque, a explorabilidade e o impacto de segurança do bug. Os seguintes problemas são considerados fora do escopo, e NÃO aceitaremos nenhum dos seguintes tipos de ataques:

  • Ataques de negação de serviço (DoS)
  • Ataques de phishing
  • Ataques de engenharia social
  • Download de arquivo refletido
  • Divulgação de versão de software
  • Problemas que exigem acesso físico direto
  • Problemas que exigem interação do usuário extremamente improvável
  • Falhas que afetam navegadores e plugins desatualizados
  • Painéis de login publicamente acessíveis
  • Injeção de CSV
  • Enumeração de e-mail / oráculos de conta
  • Fraquezas de CSP
  • Falsificação de e-mail (Email Spoofing)
  • Técnicas que permitem visualizar fotos de perfil de usuário (estas são consideradas públicas)

Recompensas

O prêmio para o bug mais crítico que expõe PII e dados do livro-razão (ledger) é um AirPods Pro (nos EUA) ou equivalente em USDT.

O prêmio para um bug de segurança é um Cartão Presente Amazon de $20 ou equivalente em USDT.

Somos uma equipe pequena com um orçamento limitado e pudemos distribuir apenas

  • 1 AirPods Pro para todos.
  • 10 recompensas de $20 por mês, por até 3 meses. Se o número de casos reais exceder esse valor em um mês, enviaremos a recompensa restante no mês seguinte. ($600 no total para esta campanha)

Tem perguntas?

Pergunte-nos em https://t.me/beancount

Sobre o Beancount.io

Beancount.io é um poderoso sistema de contabilidade de dupla entrada de código aberto, confiável por profissionais de finanças, desenvolvedores e entusiastas de finanças pessoais. Projetado para clareza, extensibilidade e precisão, o Beancount ajuda os usuários a gerenciar dados financeiros complexos com contabilidade em texto simples, validação robusta e integrações perfeitas. Desde a sua criação, capacitou os usuários a obter controle total sobre suas finanças, automatizar relatórios e manter registros transparentes e auditáveis, tornando-o um favorito entre aqueles que valorizam a simplicidade sem comprometer.

Logo do Beancount.io