Preskočiť na hlavný obsah

Jeden príspevok označené s "vývojári"

Zobraziť všetky značky

Predstavujeme program odmien pre vývojárov Beancount

· Čítanie na 4 minúty
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io s nadšením oznamuje úplne nový program odmien pre vývojárov v našej komunite! Program odmien za bezpečnostné chyby (Security Bug Bounty) je otvorená ponuka pre externých jednotlivcov, aby získali kompenzáciu za hlásenie beancount.io a open-source mobilnej aplikácie Beancount chýb súvisiacich s bezpečnosťou základnej funkcionality.

Žiadna technológia nie je dokonalá a veríme, že spolupráca s vývojármi, inžiniermi a technológmi po celom svete je kľúčová pri identifikácii slabých miest v našom projekte počas jeho vývoja. Ak si myslíte, že ste našli bezpečnostný problém v našom produkte alebo službe, odporúčame vám, aby ste nás o tom informovali. Radi s vami budeme spolupracovať na rýchlom vyriešení problému.

Obdobie kampane

2020-10-13-security-bug-bounty

2020-10-15 17:00 PST do 2020-11-30 17:00 PST

Rozsah

Nasledujúce komponenty Beancount sú zahrnuté v 1. fáze kampane Bug Bounty:

  1. beancount.io/ledger : Váš osobný finančný manažér.
  2. open-source mobilná aplikácia Beancount

Kroky pre účasť a hlásenie chýb

  • Ak sa to NETÝKA osobne identifikovateľných informácií (PII) a presných dát z účtovnej knihy (ledger). Poskytnite informácie o chybách prostredníctvom požiadavky GitHub ISSUE na https://github.com/puncsky/beancount-mobile/issues/:
    • Aktívum. Vyberte úložisko, ku ktorému sa chyba vzťahuje, a vytvorte v ňom „Novú úlohu“ (New Issue).
    • Závažnosť. Vyberte úroveň zraniteľnosti podľa „Kvalifikovaných zraniteľností“.
    • Zhrnutie — Pridajte zhrnutie chyby
    • Popis — Akékoľvek ďalšie podrobnosti o tejto chybe
    • Kroky — Kroky na reprodukciu
    • Podporné materiály/Referencie — Zdrojový kód na replikáciu, uveďte akékoľvek ďalšie materiály (napr. snímky obrazovky, protokoly atď.)
    • Dopad — Aký dopad má nájdená chyba, čo by mohol útočník dosiahnuť?
    • Vaše meno, krajina a Telegram ID pre kontakt.
  • Ak sa to týka PII a presných dát z účtovnej knihy (ledger), kontaktujte puncsky na Telegrame a pošlite vyššie uvedené informácie.
  • Tím Beancount.io skontroluje všetky chyby a poskytne vám spätnú väzbu čo najrýchlejšie prostredníctvom komentárov na stránke s konkrétnou chybou alebo osobne cez Telegram, ak sa to týka PII a presných dát z účtovnej knihy (ledger).
  • Rozdelenie odmien sa uskutoční vo forme fyzického daru, darčekovej karty alebo ekvivalentu USDT po skončení kampane, približne 2020-12-01 PST.

Kvalifikované zraniteľnosti

Aby sa bezpečnostná chyba kvalifikovala na odmenu, musí byť originálna a predtým nenahlásená.

Na odmenu sa kvalifikujú iba nasledujúce problémy s dizajnom alebo implementáciou, ktoré podstatne ovplyvňujú stabilitu alebo bezpečnosť Beancount.io. Bežné príklady zahŕňajú:

  • Únik PII a dát z účtovnej knihy (ledger), zatiaľ čo hostiteľský počítač nie je kompromitovaný
  • Špeciálna akcia, ktorá spôsobí pozastavenie alebo pád celej webovej stránky alebo mobilnej aplikácie
  • Používateľ ovplyvní iného používateľa bez predchádzajúceho udelenia prístupu

V prípade scenárov, ktoré nespadajú do jednej z vyššie uvedených kategórií, stále oceňujeme hlásenia, ktoré nám pomáhajú zabezpečiť našu infraštruktúru a našich používateľov, a tieto hlásenia odmeňujeme na individuálnej báze.

Zraniteľnosti mimo rozsahu

Pri hlásení zraniteľností zvážte scenár útoku, zneužiteľnosť a bezpečnostný dopad chyby. Nasledujúce problémy sú považované za mimo rozsahu a NEBUDEME akceptovať žiadny z nasledujúcich typov útokov:

  • Útoky typu odmietnutie služby (Denial of Service)
  • Phishingové útoky
  • Útoky sociálneho inžinierstva
  • Reflected file download (stiahnutie reflektovaného súboru)
  • Zverejnenie verzie softvéru
  • Problémy vyžadujúce priamy fyzický prístup
  • Problémy vyžadujúce mimoriadne nepravdepodobnú interakciu používateľa
  • Chyby ovplyvňujúce zastarané prehliadače a pluginy
  • Verejne prístupné prihlasovacie panely
  • CSV injekcia
  • Enumerácia e-mailov / orákulá účtov
  • Slabiny CSP (Content Security Policy)
  • Falšovanie e-mailov (Email Spoofing)
  • Techniky umožňujúce zobrazenie profilových fotografií používateľov (tieto sú považované za verejné)

Odmeny

Cenou za najkritickejšiu chybu odhaľujúcu PII a dáta z účtovnej knihy (ledger) sú AirPods Pro (v USA) alebo ekvivalent v USDT.

Cenou za bezpečnostnú chybu je darčeková karta Amazon v hodnote 20 USD alebo ekvivalent v USDT.

Sme malý tím s obmedzeným rozpočtom a môžeme rozdeliť iba

  • 1 AirPods Pro pre všetkých.
  • 10 odmien v hodnote 20 USD mesačne, po dobu až 3 mesiacov. Ak skutočný počet prípadov prekročí túto sumu v danom mesiaci, zvyšnú odmenu pošleme v nasledujúcom mesiaci. (Celkovo 600 USD pre túto kampaň)

Máte otázky?

Spýtajte sa nás na https://t.me/beancount

O Beancount.io

Beancount.io je výkonný open-source systém podvojného účtovníctva, ktorému dôverujú finanční profesionáli, vývojári a nadšenci osobných financií. Beancount je navrhnutý pre prehľadnosť, rozšíriteľnosť a presnosť a pomáha používateľom spravovať zložité finančné údaje pomocou účtovníctva v čistom texte, robustnej validácie a bezproblémových integrácií. Od svojho vzniku umožňuje používateľom získať plnú kontrolu nad svojimi financiami, automatizovať výkazníctvo a udržiavať transparentné, auditovateľné záznamy – čo z neho robí obľúbenú voľbu medzi tými, ktorí si cenia jednoduchosť bez kompromisov.

Logo Beancount.io