Представляємо Програму винагород для розробників Beancount
Beancount.io із захопленням оголошує про абсолютно нову програму винагород для розробників у нашій спільноті! Програма Security Bug Bounty — це відкрита пропозиція зовнішнім особам отримати компенсацію за повідомлення про баги, пов'язані з безпекою основної функціональності beancount.io та мобільного застосунку Beancount з відкритим вихідним кодом.
Жодна технологія не є досконалою, і ми віримо, що співпраця з розробниками, інженерами та технологами по всьому світу є вирішальною для виявлення слабких місць у нашому проєкті під час його розробки. Якщо ви вважаєте, що знайшли проблему безпеки в нашому продукті чи послузі, ми закликаємо вас повідомити нас. Ми раді співпрацювати з вами для швидкого вирішення проблеми.
Період кампанії
З 15.10.2020 17:00 PST до 30.11.2020 17:00 PST
Обсяг
Наступні компоненти Beancount включені в 1 етап кампанії Bug Bounty:
- beancount.io/ledger : Ваш менеджер особистих фінансів.
- мобільний застосунок Beancount з відкритим вихідним кодом
Кроки для участі та повідомлення про баги
- Якщо це НЕ стосується особистої ідентифікаційної інформації (PII) та точних даних бухгалтерської книги. Надайте інформацію про баги через запит GitHub ISSUE за посиланням https://github.com/puncsky/beancount-mobile/issues/:
- Актив. Оберіть репозиторій, до якого відноситься баг, і створіть у ньому «New Issue» (Нову проблему).
- Серйозність. Оберіть рівень вразливості відповідно до «Кваліфікаційних вразливостей».
- Короткий опис — Додайте короткий опис багу.
- Опис — Будь-які додаткові деталі щодо цього багу.
- Кроки — Кроки для відтворення.
- Допоміжні матеріали/Посилання — Вихідний код для відтворення, перелік будь-яких додаткових матеріалів (наприклад, знімки екрана, логи тощо).
- Вплив — Який вплив має знайдений баг, чого міг би досягти зловмисник?
- Ваше ім'я, країна та Telegram ID для зв'язку.
- Якщо це стосується PII та точних даних бухгалтерської книги, зв'яжіться з puncsky у Telegram та надішліть вищезазначену інформацію.
- Команда Beancount.io перегляне всі баги та надасть вам зворотний зв'язок якомога швидше через коментарі на сторінці з конкретним багом або особисто через Telegram, якщо це стосується PII та точних даних бухгалтерської книги.
- Розподіл винагород буде здійснюватися у вигляді фізичного подарунка, подарункової картки або еквівалента USDT після завершення кампанії приблиз�но 01.12.2020 PST.
Кваліфікаційні вразливості
Щоб претендувати на винагороду, баг безпеки має бути оригінальним і раніше не повідомленим.
Лише наступні проблеми дизайну або реалізації, які суттєво впливають на стабільність або безпеку Beancount.io, кваліфікуються для винагороди. Поширені приклади включають:
- Витік PII та даних бухгалтерської книги, якщо хост-машина не скомпрометована.
- Спеціальна дія, яка призводить до призупинення або збою всього вебсайту чи мобільного застосунку.
- Користувач впливає на іншого користувача без попереднього надання доступу.
Для сценаріїв, які не підпадають під одну з вищезазначених категорій, ми все одно цінуємо повідомлення, що допомагають нам убезпечити нашу інфраструктуру та наших користувачів, і винагороджуємо такі повідомлення на індивідуальній основі.
Вразливості поза межами дії
Повідомляючи про вразливості, будь ласка, враховуйте сценарій атаки, можливість експлуатації та вплив багу на безпеку. Наступні проблеми вважаються поза межами дії, і ми НЕ прийматимемо жоден з наступних типів атак:
- Атаки типу «відмова в обслуговуванні»
- Фішингові атаки
- Атаки соціальної інженерії
- Віддзеркалене завантаження файлів
- Розкриття версії програмного забезпечення
- Проблеми, що вимагають прямого фізичного доступу
- Проблеми, що вимагають надзвичайно малоймовірної взаємодії з користувачем
- Недоліки, що впливають на застарілі браузери та плагіни
- Публічно доступні панелі входу
- Ін'єкція CSV
- Перелік електронних адрес / оракули облікових записів
- Слабкі місця CSP
- Підробка електронної пошти
- Методи, що дозволяють переглядати фотографії профілів користувачів (вони вважаються публічними)
Винагороди
Приз за найкритичніший баг, що розкриває PII та дані бухгалтерської книги, — це AirPods Pro (у США) або еквівалент USDT.
Приз за баг безпеки — подарункова картка Amazon на $20 або еквівалент USDT.
Ми — невелика команда з обмеженим бюджетом і можемо розподілити лише
- 1 AirPods Pro для всіх.
- 10 винагород по $20 на місяць, до 3 місяців. Якщо фактична кількість перевищить цю суму за місяць, ми надішлемо решту винагороди наступного місяця. (Загалом $600 за цю кампанію)
Маєте запитання?
Запитайте нас за посиланням https://t.me/beancount
