Beancount 开发者奖励计划介绍
· 阅读需 6 分钟
Beancount.io 很高兴地宣布,我们社区的开发者奖励计划全新上线!安全漏洞赏金计划是一项向外部个人发出的公开提议,旨在奖励那些报告与 beancount.io 和 开源 Beancount 移动应用 核心功能安全相关的漏洞的人员。
没有任何技术是完美的,我们相信与全球开发者、工程师和技术人员合作,对于在项目构建过程中识别其弱点至关重要。如果您认为在我们的产品或服务中发现了安全问题,我们鼓励您通知我们。我们欢迎与您合作,迅速解决问题。
活动期间
太平洋标准时间 2020 年 10 月 15 日 17:00 至 2020 年 11 月 30 日 17:00
范围
以下 Beancount 组件包含在漏洞赏金活动的第一阶段:
- beancount.io/ledger:您的个人财务管理器。
- 开源 Beancount 移动应用
参与和报告漏洞的步骤
- 如果不涉及个人身份信息 (PII) 和精确的账本数据,请通过 https://github.com/puncsky/beancount-mobile/issues/ 中的 GitHub ISSUE 请求提供漏洞信息:
- 资产。选择与漏洞相关的仓库,并在其中创建“新问题”(New Issue)。
- 严重性。根据“符合条件的漏洞”选择漏洞级别。
- 摘要 — 添加漏洞摘要
- 描述 — 关于此漏洞的任何额外详细信息
- 步骤 — 复现步骤
- 支持材料/参考 — 用于复现的源代码,列出任何额外材料(例如,截图、日志等)
- 影响 — 发现的漏洞有何影响,攻击者可能实现什么?
- ��您的姓名、国家和 Telegram ID 以便联系。
- 如果涉及 PII 和精确的账本数据,请联系 Telegram 上的 puncsky 并发送上述信息。
- Beancount.io 团队将审查所有漏洞,并通过特定漏洞页面上的评论或通过 Telegram 私人消息(如果涉及 PII 和精确的账本数据)尽快向您提供反馈。
- 奖励将在活动于太平洋标准时间 2020 年 12 月 1 日左右结束后,以实物礼品、礼品卡或等值 USDT 的形式发放。
符合条件的漏洞
要获得赏金,安全漏洞必须是独创且此前未报告的。
只有以下对 Beancount.io 的稳定性或安全性产生重大影响的设计或实现问题才符合奖励条件。常见示例包括:
- 主机未受损情况下的 PII 和账本数据泄露
- 导致整个网站或移动应用暂停或崩溃的特殊操作
- 用户在未获得事先授权的情况下影响其他用户
对于不属于上述任何类别的场景,我们仍然感谢那些帮助我们保护基础设施和用户安全的报告,并将逐案奖励这些报告。
超出范围的漏洞
报告漏洞时,请考虑漏洞的攻击场景、可利用性和安全影响。以下问题被视为超出范围,我们不接受任何以下类型的攻击:
- 拒绝服务攻击
- 网络钓鱼攻击
- 社会工程学攻击
- 反射文件下载
- 软件版本泄露
- 需要直接物理访问的问题
- 需要极不可能的用户交互的问题
- 影响过时浏览器和插件的缺陷
- 公开可访问的登录面板
- CSV 注入
- 电子邮件枚举 / 账户预言机
- CSP 弱点
- 电子邮件欺骗
- 允许查看用户个人资料照片的技术(这些被视为公开信息)
奖励
暴露 PII 和账本数据的最严重漏洞的奖品是 AirPods Pro(在美国)或等值 USDT。
安全漏洞的奖品是 20 美元亚马逊礼品卡或等值 USDT。
我们是一个预算有限的小团队,只能发放
- 1 个 AirPods Pro(总共)。
- 每月 10 份 20 美元奖励,最多 3 个月。如果当月实际案例超出此数量,我们将在下个月发送剩余奖励。(本次活动总计 600 美元)
有疑问?
请在 https://t.me/beancount 提问
