2 篇博文 含有标签「安全」

维护一个安全且高性能的在线服务绝非一劳永逸。它不仅需要投入精力开发新功能，还需要不断更新现有功能。

过时的软件会使我们的客户面临安全漏洞的风险。我们如何降低这种风险？一方面，我们积极与安全研究人员合作，发现并解决意外问题。另一方面，我们会定期合并上游软件的最新版本。

今天，我们很高兴分享我们为改进 Beancount.io 所做的一些增强。

1. 我们升级了服务器，将服务速度提升了高达 30%。服务可用性也得到了显著改善。
2. 我们将 MIT 许可的开源软件 Fava 升级到 1.17 版本。它修复了各种错误并增加了许多新功能。

感到兴奋吗？立即访问 https://beancount.io/ledger/ 体验吧！

有疑问？我们会在 https://t.me/beancount 为您提供帮助 :)

Beancount.io 很高兴地宣布，我们社区的开发者奖励计划全新上线！安全漏洞赏金计划是一项向外部个人发出的公开提议，旨在奖励那些报告与 beancount.io 和 开源 Beancount 移动应用 核心功能安全相关的漏洞的人员。

没有任何技术是完美的，我们相信与全球开发者、工程师和技术人员合作，对于在项目构建过程中识别其弱点至关重要。如果您认为在我们的产品或服务中发现了安全问题，我们鼓励您通知我们。我们欢迎与您合作，迅速解决问题。

活动期间​

太平洋标准时间 2020 年 10 月 15 日 17:00 至 2020 年 11 月 30 日 17:00

范围​

以下 Beancount 组件包含在漏洞赏金活动的第一阶段：

1. beancount.io/ledger：您的个人财务管理器。
2. 开源 Beancount 移动应用

参与和报告漏洞的步骤​

• 如果不涉及个人身份信息 (PII) 和精确的账本数据，请通过 https://github.com/puncsky/beancount-mobile/issues/ 中的 GitHub ISSUE 请求提供漏洞信息：
  • 资产。选择与漏洞相关的仓库，并在其中创建“新问题”（New Issue）。
  • 严重性。根据“符合条件的漏洞”选择漏洞级别。
  • 摘要 — 添加漏洞摘要
  • 描述 — 关于此漏洞的任何额外详细信息
  • 步骤 — 复现步骤
  • 支持材料/参考 — 用于复现的源代码，列出任何额外材料（例如，截图、日志等）
  • 影响 — 发现的漏洞有何影响，攻击者可能实现什么？
  • 您的姓名、国家和 Telegram ID 以便联系。
• 如果涉及 PII 和精确的账本数据，请联系 Telegram 上的 puncsky 并发送上述信息。
• Beancount.io 团队将审查所有漏洞，并通过特定漏洞页面上的评论或通过 Telegram 私人消息（如果涉及 PII 和精确的账本数据）尽快向您提供反馈。
• 奖励将在活动于太平洋标准时间 2020 年 12 月 1 日左右结束后，以实物礼品、礼品卡或等值 USDT 的形式发放。

符合条件的漏洞​

要获得赏金，安全漏洞必须是独创且此前未报告的。

只有以下对 Beancount.io 的稳定性或安全性产生重大影响的设计或实现问题才符合奖励条件。常见示例包括：

• 主机未受损情况下的 PII 和账本数据泄露
• 导致整个网站或移动应用暂停或崩溃的特殊操作
• 用户在未获得事先授权的情况下影响其他用户

对于不属于上述任何类别的场景，我们仍然感谢那些帮助我们保护基础设施和用户安全的报告，并将逐案奖励这些报告。

超出范围的漏洞​

报告漏洞时，请考虑漏洞的攻击场景、可利用性和安全影响。以下问题被视为超出范围，我们不接受任何以下类型的攻击：

• 拒绝服务攻击
• 网络钓鱼攻击
• 社会工程学攻击
• 反射文件下载
• 软件版本泄露
• 需要直接物理访问的问题
• 需要极不可能的用户交互的问题
• 影响过时浏览器和插件的缺陷
• 公开可访问的登录面板
• CSV 注入
• 电子邮件枚举 / 账户预言机
• CSP 弱点
• 电子邮件欺骗
• 允许查看用户个人资料照片的技术（这些被视为公开信息）

奖励​

暴露 PII 和账本数据的最严重漏洞的奖品是 AirPods Pro（在美国）或等值 USDT。

安全漏洞的奖品是 20 美元亚马逊礼品卡或等值 USDT。

我们是一个预算有限的小团队，只能发放

• 1 个 AirPods Pro（总共）。
• 每月 10 份 20 美元奖励，最多 3 个月。如果当月实际案例超出此数量，我们将在下个月发送剩余奖励。（本次活动总计 600 美元）

有疑问？​

请在 https://t.me/beancount 提问