Перейти к основному содержимому

Одна запись с тегом "раскрытие уязвимостей"

Посмотреть все теги

Представляем программу вознаграждений для разработчиков Beancount

· 4 минуты чтения
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io с радостью объявляет о совершенно новой программе вознаграждений для разработчиков в нашем сообществе! Программа Security Bug Bounty — это открытое предложение внешним лицам получить компенсацию за сообщение об ошибках, связанных с безопасностью основной функциональности beancount.io и мобильного приложения Beancount с открытым исходным кодом.

Ни одна технология не идеальна, и мы считаем, что сотрудничество с разработчиками, инженерами и технологами по всему миру имеет решающее значение для выявления слабых мест в нашем проекте в процессе его создания. Если вы считаете, что обнаружили проблему безопасности в нашем продукте или услуге, мы призываем вас уведомить нас. Мы будем рады сотрудничать с вами для оперативного решения проблемы.

Период кампании

2020-10-13-security-bug-bounty

2020-10-15 17:00 PST по 2020-11-30 17:00 PST

Область действия

Следующие компоненты Beancount включены в 1-й этап кампании Bug Bounty:

  1. beancount.io/ledger : Ваш персональный финансовый менеджер.
  2. мобильное приложение Beancount с открытым исходным кодом

Шаги для участия и сообщения об ошибках

  • Если это НЕ связано с персональными данными (PII) и точными данными бухгалтерской книги. Предоставьте информацию об ошибках через запрос GitHub ISSUE по адресу https://github.com/puncsky/beancount-mobile/issues/:
    • Актив. Выберите репозиторий, к которому относится ошибка, и создайте в нем «Новую проблему» (New Issue).
    • Серьезность. Выберите уровень уязвимости в соответствии с «Квалифицирующими уязвимостями».
    • Краткое описание — Добавьте краткое описание ошибки.
    • Описание — Любые дополнительные сведения об этой ошибке.
    • Шаги — Шаги для воспроизведения.
    • Вспомогательные материалы/Ссылки — Исходный код для воспроизведения, перечислите любые дополнительные материалы (например, скриншоты, логи и т. д.).
    • Влияние — Какое влияние оказывает найденная ошибка, чего мог бы достичь злоумышленник?
    • Ваше имя, страна и Telegram ID для связи.
  • Если это связано с PII и точными данными бухгалтерской книги, свяжитесь с puncsky в Telegram и отправьте вышеуказанную информацию.
  • Команда Beancount.io рассмотрит все ошибки и предоставит вам обратную связь как можно быстрее через комментарии на странице с конкретной ошибкой или лично через Telegram, если это связано с PII и точными данными бухгалтерской книги.
  • Распределение вознаграждений будет осуществляться в виде физического подарка, подарочной карты или эквивалента в USDT после завершения кампании, примерно 1 декабря 2020 г. PST.

Квалифицирующие уязвимости

Чтобы претендовать на вознаграждение, ошибка безопасности должна быть оригинальной и ранее не сообщавшейся.

Только следующие проблемы проектирования или реализации, которые существенно влияют на стабильность или безопасность Beancount.io, квалифицируются для вознаграждения. Распространенные примеры включают:

  • Утечка PII и данных бухгалтерской книги, когда хост-машина не скомпрометирована.
  • Специальное действие, которое приводит к зависанию или сбою всего веб-сайта или мобильного приложения.
  • Пользователь влияет на другого пользователя без предварительного предоставления доступа.

Для сценариев, которые не подпадают под одну из вышеуказанных категорий, мы по-прежнему ценим отчеты, которые помогают нам обезопасить нашу инфраструктуру и наших пользователей, и вознаграждаем за такие отчеты в индивидуальном порядке.

Уязвимости вне области действия

При сообщении об уязвимостях, пожалуйста, учитывайте сценарий атаки, возможность эксплуатации и влияние ошибки на безопасность. Следующие проблемы считаются вне области действия, и мы НЕ будем принимать никакие из следующих типов атак:

  • Атаки типа «отказ в обслуживании» (DoS)
  • Фишинговые атаки
  • Атаки социальной инженерии
  • Отраженная загрузка файла
  • Раскрытие версии программного обеспечения
  • Проблемы, требующие прямого физического доступа
  • Проблемы, требующие крайне маловероятного взаимодействия с пользователем
  • Недостатки, затрагивающие устаревшие браузеры и плагины
  • Общедоступные панели входа
  • Инъекция CSV
  • Перечисление электронной почты / оракулы учетных записей
  • Слабые места CSP
  • Подделка электронной почты
  • Методы, позволяющие просматривать фотографии профилей пользователей (они считаются общедоступными)

Вознаграждения

Приз за самую критическую ошибку, раскрывающую PII и данные бухгалтерской книги, — AirPods Pro (в США) или эквивалент в USDT.

Приз за ошибку безопасности — подарочная карта Amazon на $20 или эквивалент в USDT.

Мы — небольшая команда с ограниченным бюджетом и можем распределить только:

  • 1 AirPods Pro для всех.
  • 10 вознаграждений по $20 в месяц, до 3 месяцев. Если фактическое количество превысит эту сумму в данном месяце, мы отправим оставшееся вознаграждение в следующем месяце. (Всего $600 за эту кампанию)

Есть вопросы?

Задайте их нам по адресу https://t.me/beancount

О Beancount.io

Beancount.io — это мощная система бухгалтерского учета с двойной записью и открытым исходным кодом, которой доверяют финансовые специалисты, разработчики и энтузиасты личных финансов. Разработанный для ясности, расширяемости и точности, Beancount помогает пользователям управлять сложными финансовыми данными с помощью текстового учета, надежной проверки и бесшовной интеграции. С момента своего создания он позволяет пользователям получать полный контроль над своими финансами, автоматизировать отчетность и вести прозрачные, проверяемые записи, что делает его фаворитом среди тех, кто ценит простоту без компромиссов.

Начать БесплатноСмотреть Цены

Начало работы

Возможности

Сообщество

Правовая информация

Beancount.io© 2019 - 2025 Beancount.io
Создано с прозрачностью • Контроль версий • На базе ИИ