2 записи с тегом "безопасность"

Поддержание безопасного и высокопроизводительного онлайн-сервиса — это не разовая задача. Это требует усилий не только для разработки новых функций, но и для обновления существующих.

Устаревшее программное обеспечение подвергает наших клиентов риску уязвимостей безопасности. Как мы снижаем этот риск? С одной стороны, мы активно работаем с исследователями безопасности для поиска и устранения непредвиденных проблем. С другой стороны, мы периодически интегрируем последние версии стороннего программного обеспечения.

Сегодня мы рады поделиться некоторыми улучшениями, которые мы внесли в Beancount.io.

1. Мы обновили сервер и ускорили работу сервиса до 30%. Доступность сервиса также значительно улучшилась.
2. Мы обновили открытое ПО Fava, распространяемое по лицензии MIT, до версии 1.17. В нем были исправлены различные ошибки и добавлены многие новые функции.

Чувствуете себя взволнованными? Попробуйте сейчас на https://beancount.io/ledger/

Есть вопросы? Мы будем рады помочь вам по адресу https://t.me/beancount :)

Beancount.io с радостью объявляет о совершенно новой программе вознаграждений для разработчиков в нашем сообществе! Программа Security Bug Bounty — это открытое предложение внешним лицам получить компенсацию за сообщение об ошибках, связанных с безопасностью основной функциональности beancount.io и мобильного приложения Beancount с открытым исходным кодом.

Ни одна технология не идеальна, и мы считаем, что сотрудничество с разработчиками, инженерами и технологами по всему миру имеет решающее значение для выявления слабых мест в нашем проекте в процессе его создания. Если вы считаете, что обнаружили проблему безопасности в нашем продукте или услуге, мы призываем вас уведомить нас. Мы будем рады сотрудничать с вами для оперативного решения проблемы.

Период кампании​

2020-10-15 17:00 PST по 2020-11-30 17:00 PST

Область действия​

Следующие компоненты Beancount включены в 1-й этап кампании Bug Bounty:

1. beancount.io/ledger : Ваш персональный финансовый менеджер.
2. мобильное приложение Beancount с открытым исходным кодом

Шаги для участия и сообщения об ошибках​

• Если это НЕ связано с персональными данными (PII) и точными данными бухгалтерской книги. Предоставьте информацию об ошибках через запрос GitHub ISSUE по адресу https://github.com/puncsky/beancount-mobile/issues/:
  • Актив. Выберите репозиторий, к которому относится ошибка, и создайте в нем «Новую проблему» (New Issue).
  • Серьезность. Выберите уровень уязвимости в соответствии с «Квалифицирующими уязвимостями».
  • Краткое описание — Добавьте краткое описание ошибки.
  • Описание — Любые дополнительные сведения об этой ошибке.
  • Шаги — Шаги для воспроизведения.
  • Вспомогательные материалы/Ссылки — Исходный код для воспроизведения, перечислите любые дополнительные материалы (например, скриншоты, логи и т. д.).
  • Влияние — Какое влияние оказывает найденная ошибка, чего мог бы достичь злоумышленник?
  • Ваше имя, страна и Telegram ID для связи.
• Если это связано с PII и точными данными бухгалтерской книги, свяжитесь с puncsky в Telegram и отправьте вышеуказанную информацию.
• Команда Beancount.io рассмотрит все ошибки и предоставит вам обратную связь как можно быстрее через комментарии на странице с конкретной ошибкой или лично через Telegram, если это связано с PII и точными данными бухгалтерской книги.
• Распределение вознаграждений будет осуществляться в виде физического подарка, подарочной карты или эквивалента в USDT после завершения кампании, примерно 1 декабря 2020 г. PST.

Квалифицирующие уязвимости​

Чтобы претендовать на вознаграждение, ошибка безопасности должна быть оригинальной и ранее не сообщавшейся.

Только следующие проблемы проектирования или реализации, которые существенно влияют на стабильность или безопасность Beancount.io, квалифицируются для вознаграждения. Распространенные примеры включают:

• Утечка PII и данных бухгалтерской книги, когда хост-машина не скомпрометирована.
• Специальное действие, которое приводит к зависанию или сбою всего веб-сайта или мобильного приложения.
• Пользователь влияет на другого пользователя без предварительного предоставления доступа.

Для сценариев, которые не подпадают под одну из вышеуказанных категорий, мы по-прежнему ценим отчеты, которые помогают нам обезопасить нашу инфраструктуру и наших пользователей, и вознаграждаем за такие отчеты в индивидуальном порядке.

Уязвимости вне области действия​

При сообщении об уязвимостях, пожалуйста, учитывайте сценарий атаки, возможность эксплуатации и влияние ошибки на безопасность. Следующие проблемы считаются вне области действия, и мы НЕ будем принимать никакие из следующих типов атак:

• Атаки типа «отказ в обслуживании» (DoS)
• Фишинговые атаки
• Атаки социальной инженерии
• Отраженная загрузка файла
• Раскрытие версии программного обеспечения
• Проблемы, требующие прямого физического доступа
• Проблемы, требующие крайне маловероятного взаимодействия с пользователем
• Недостатки, затрагивающие устаревшие браузеры и плагины
• Общедоступные панели входа
• Инъекция CSV
• Перечисление электронной почты / оракулы учетных записей
• Слабые места CSP
• Подделка электронной почты
• Методы, позволяющие просматривать фотографии профилей пользователей (они считаются общедоступными)

Вознаграждения​

Приз за самую критическую ошибку, раскрывающую PII и данные бухгалтерской книги, — AirPods Pro (в США) или эквивалент в USDT.

Приз за ошибку безопасности — подарочная карта Amazon на $20 или эквивалент в USDT.

Мы — небольшая команда с ограниченным бюджетом и можем распределить только:

• 1 AirPods Pro для всех.
• 10 вознаграждений по $20 в месяц, до 3 месяцев. Если фактическое количество превысит эту сумму в данном месяце, мы отправим оставшееся вознаграждение в следующем месяце. (Всего $600 за эту кампанию)

Есть вопросы?​

Задайте их нам по адресу https://t.me/beancount