Программа Bug Bounty для iotex-core
IoTeX рад объявить о новой программе вознаграждений для разработчиков в нашем сообществе! Программа Bug Bounty открыта для всех и каждый сможет получить компенсацию за сообщение об ошибках в iotex-core, особенно связанных с безопасностью основной функциональности.
Ни одна технология не идеальна, и IoTeX считает, что работа с исследователями, разработчиками, инженерами и техническими специалстами по всему миру имеет решающее значение для выявления слабых сторон в нашей инфраструктуре блокчейна, пока мы заняты построением. Если вы считаете, что обнаружили проблему безопасности в нашем продукте или услуге, мы просим вас сообщить нам и будем рады сотрудничеству с вами для быстрого решения проблемы.
Период кампании
12.02.2019 9:00 (МСК) до 01.04.2019 9:00 (МСК)
Масштаб
Область применения программы ограничена техническими уязвимостями в последнем программном обеспечении блокчейна IoTeX
с особым акцентом на уязвимости в:
- Сетевом уровне P2P
- Уровне обработки консенсуса
- Бизнес-логике для обработки блоков итранзакций
- Уровне выполнения для запуска смарт-контрактов
- Стороннем программном обеспечении/lib, которые используются в вышеуказанных четырех уровнях
Нам известны следующие пункты, о которых НЕ следует сообщать:
- Безопастность настройки DNS и аутентификации электронной почты
- Безопастность наших веб-сайтов (iotex.io, iotexscan.io, и др.)
- Спам в социальных сетях
- Фишинговые атаки
Отбор уязвимостей
Чтобы претендовать на получение награды, ошибка безопасности должна быть оригинальной и ранее не опубликованной.
Только следующие проблемы проектирования или реализации, которые существенно влияют на стабильность или безопасность блокчейна IoTeX, могут быть квалифицированы для получения награды. Общие примеры включают в себя:
- Утечка секретного ключа, когда хост-машина не скомпрометирована
- Инициирование несанкционированных действий на счетах, например, несанкционированный перевод монет со счетов
- Специальный пакет/сообщение/вызов, подвергающий к сбою процесса
- Отправка контракта в бесконечный цикл или использование большого объема памяти
Для сценариев, которые не попадают в одну из вышеуказанных категорий, мы по-прежнему ценим сведения, которые помогают нам защитить нашу инфраструктуру и наших пользователей, и будем вознаграждать эти сообщения в индивидуальном порядке. Обратите внимание, что решения о вознаграждении принимаются по усмотрению IoTeX Foundation.
Вознаграждение
Для квалифицированных сведений,
- Основная сумма вознаграждения в настоящее время составляет 10,000 IOTX, а конкретная сумма зависит от серьезности сообщенной ошибки, согласно следующей таблице.
- Окончательная сумма всегда зависит от уровня критичности, см таблицу вознаграждений.
- Мы платим более высокие вознаграждения за необычайно искусные или серьезные уязвимости и платим более низкие вознаграждения за уязвимости, которые требуют необычного взаимодействия с пользователем. Мы также решаем представляет ли один отчет несколько ошибок или если несколько сообщений настолько тесно связаны, что требуют только одного вознаграждения.
- Для нескольких уязвимостей с одной основной причиной, где одно исправление может решить все проблемы, мы рассматриваем это как одну уязвимость и награждаем, только один раз.
Сообщение об ошибках
Если вы обнаружили уязвимость, отправьте отчет на http://iotex.io/bugs со следующей информацией:
- Серьезность проблемы
- Краткое описание уязвимости
- Любые дополнительные сведения об этой уязвимости
- Действия по устранению
- Вспомогательные материалы/ссылки, например, исходный код, скрипты
- Влияние на безопасность, которое может получить злоумышленник
- Ваше имя и страна, например, неопознанные заявители не будут иметь право на вознаграждение
Обратите внимание,
- Вы получите право на вознаграждение только в том случае, если вы будете первым, кто предупредит нас о ранее неизвестной ошибке. Мы сообщим вам о ходе выполнения вашего отчета, когда он будет принят, утвержден, исправлен и когда последует вознаграждение.
- Технические обсуждения в https://gitter.im/iotex-dev-community/Lobby приветствуются, но не раскрывайте подробности об ошибках без предварительного уведомления.
- Наша команда инженеров (которая общаяется только через письма с доменом @iotex.io) может обратиться к вам за дополнительной информацией об ошибке, если это необходимо.
Отказ от ответственности
Это экспериментальная и дискреционная программа вознаграждений, и IoTeX Foundation может отменить программу в любое время, а решение о выплате вознаграждения будет приниматься исключительно по усмотрению IoTeX Foundation. Эксплуатация или тестирования участников не должны нарушать какие-либо законы или ставить под угрозу любые неразрешенные данные.
В заключение
IoTeX всегда желает, чтобы наше сообщество принимало участие в захватывающих и передовых технологиях блокчейн-платформ. Мы рассчитываем на взаимодействие с более увлеченными разработчиками, которые изменят мир с помощью продуктов, основанных на IoTeX, и будут вознаграждены за их вклад. Хорошей охоты!
О проекте IoTeX
IoTeX — первая в мире блокчейн платформа, ориентированная на конфиденциальность, которая является быстрой, гибкой и дружелюбной к сфере Интернета Вещей (IoT). Команда IoTeX состоит из кандидатов наук в области криптографии, распределенных систем и машинного обучения, инженеров высшего уровня и опытных строителей экосистем. Разработанный и оптимизированный для IoT, IoTeX использует современные методы сохранения конфиденциальности, консенсуса и инновации субцепей, чтобы охватить весь потенциал IoT. Путем использования доверенных данных, совместимость, и автоматизацию M2M, IoTeX соединяет физические и цифровые миры и приносит доверяемые машинные экономики к массам.
Оставайтесь в курсе всех событий и подписывайтесь на наши каналы!
Сайт: https://iotex.io
Канал новостей в Телеграмме: https://t.me/iotexchannel
Главный канал в Телеграмме: https://t.me/IoTeXGroup
Русский канал в Телеграмме: https://t.me/IoTeXGroupRU
Твиттер: https://twitter.com/iotex_io
Медиум: https://medium.com/@iotex
Реддит: https://www.reddit.com/r/IoTeX/
Присоединяйтесь к нам: https://iotex.io/careers