Представляємо Програму винагород для розробників Beancount
Beancount.io із захопленням оголошує про абсолютно нову програму винагород для розробників у нашій спільноті! Програма Security Bug Bounty — це відкрита пропозиція зовнішнім особам отримати компенсацію за повідомлення про баги, пов'язані з безпекою основної функціональності beancount.io та мобільного застосунку Beancount з відкритим вихідним кодом.
Жодна технологія не є досконалою, і ми віримо, що співпраця з розробниками, інженерами та технологами по всьому світу є вирішальною для виявлення слабких місць у нашому проєкті під час його розробки. Якщо ви вважаєте, що знайшли проблему безпеки в нашому продукті чи послузі, ми закликаємо вас повідомити нас. Ми раді співпрацювати з вами для швидкого вирішення проблеми.
Період кампанії
З 15.10.2020 17:00 PST до 30.11.2020 17:00 PST
Обсяг
Наступні компоненти Beancount включені в 1 етап кампанії Bug Bounty:
- beancount.io/ledger : Ваш менеджер особистих фінансів.
- мобільний застосунок Beancount з відкритим вихідним кодом
Кроки для участі та повідомлення про баги
- Якщо це НЕ стосується особистої ідентифікаційної інформації (PII) та точних даних бухгалтерської книги. Надайте інформацію про баги через запит GitHub ISSUE за посиланням https://github.com/puncsky/beancount-mobile/issues/:
- Актив. Оберіть репозиторій, до якого відноситься баг, і створіть у ньому «New Issue» (Нову проблему).
- Серйозність. Оберіть рівень вразливості відповідно до «Кваліфікаційних вразливостей».
- Короткий опис — Додайте короткий опис багу.
- Опис — Будь-які додаткові деталі щодо цього багу.
- Кроки — Кроки для відтворення.
- Допоміжні матеріали/Посилання — Вихідний код для відтворення, перелік будь-яких додаткових матеріалів (наприклад, знімки екрана, логи тощо).
- Вплив — Який вплив має знайдений баг, чого міг би досягти зловмисник?
- Ваше ім'я, країна та Telegram ID для зв'язку.
- Якщо це стосується PII та точних даних бухгалтерської книги, зв'яжіться з puncsky у Telegram та надішліть вищезазначену інформацію.
- Команда Beancount.io перегляне всі баги та надасть вам зворотний зв'язок якомога швидше через коментарі на сторінці з конкретним багом або особисто через Telegram, якщо це стосується PII та точних даних бухгалтерської книги.
- Розподіл винагород буде здійснюватися у вигляді фізичного подарунка, подарункової картки або еквівалента USDT після завершення кампанії приблизно 01.12.2020 PST.
Кваліфікаційні вразливості
Щоб претендувати на винагороду, баг безпеки має бути оригінальним і раніше не повідомленим.
Лише наступні проблеми дизайну або реалізації, які суттєво впливають на стабільність або безпеку Beancount.io, кваліфікуються для винагороди. Поширені приклади включають:
- Витік PII та даних бухгалтерської книги, якщо хост-машина не скомпрометована.
- Спеціальна дія, яка призводить до призупинення або збою всього вебсайту чи мобільного застосунку.
- Користувач впливає на іншого користувача без попереднього надання доступу.
Для сценаріїв, які не підпадають під одну з вищезазначених категорій, ми все одно цінуємо повідомлення, що допомагають нам убезпечити нашу інфраструктуру та наших користувачів, і винагороджуємо такі повідомлення на індивідуальній основі.
Вразливості поза межами дії
Повідомляючи про вразливості, будь ласка, враховуйте сценарій атаки, можливість експлуатації та в плив багу на безпеку. Наступні проблеми вважаються поза межами дії, і ми НЕ прийматимемо жоден з наступних типів атак:
- Атаки типу «відмова в обслуговуванні»
- Фішингові атаки
- Атаки соціальної інженерії
- Віддзеркалене завантаження файлів
- Розкриття версії програмного забезпечення
- Проблеми, що вимагають прямого фізичного доступу
- Проблеми, що вимагають надзвичайно малоймовірної взаємодії з користувачем
- Недоліки, що впливають на застарілі браузери та плагіни
- Публічно доступні панелі входу
- Ін'єкція CSV
- Перелік електронних адрес / оракули облікових записів
- Слабкі місця CSP
- Підробка електронної пошти
- Методи, що дозволяють переглядати фотографії профілів користувачів (вони вважаються публічними)
Винагороди
Приз за найкритичніший баг, що розкриває PII та дані бухгалтерської книги, — це AirPods Pro (у США) або еквівалент USDT.
Приз за баг безпеки — подарункова картка Amazon на $20 або еквівалент USDT.
Ми — невелика команда з обмеженим бюджетом і можемо розподілити лише
- 1 AirPods Pro для всіх.
- 10 винагород по $20 на місяць, до 3 місяців. Якщо фактична кількість перевищить цю суму за місяць, ми надішлемо решту винагороди наступного місяця. (Загалом $600 за цю кампанію)
Маєте запитання?
Запитайте нас за посиланням https://t.me/beancount