아이리스 네트워크 메인넷 런칭을 위한 버그 바운티 프로그램 런칭!

CØSMOS Korea
Dec 27, 2018 · 7 min read

번역날짜: 2018/12/27

세상에 완벽한 기술은 없습니다. 우리는 전 세계의 숙련된 보안 연구원들이 함께 협력해 기술의 취약점을 발견하는 것이 매우 중요하다고 믿습니다.

최근 몇 달 동안 아이리스 팀은 중요한 개발 마일스톤을 여러개 달성했습니다. 이 마일스톤들은 아이리스 넷의 베타넷(Betanet)을 준비하는 과정 이었습니다. 베타넷이 시작된다는 것은 아이리스 넷이 본격적으로 메인넷 런칭 단계에 돌입함을 의미합니다. 버그와 이상 징후를 사전에 발견하고 수정하기 위해 우리는 아이리스 넷 버그 바운티 프로그램(IRISnet Bug Bounty Program)을 시작하기로 결정했습니다. 이는 베타넷 런칭을 위한 사전 준비과정입니다.

기간(Period)

2018년 12월 28일 00:00 (UTC+8) ~ 2019년 2월 12일 00:00 (UTC+8)

룰&보상(Rules & Rewards)

바운티 보상은 임팩트, 위험도, 치팅 가능성(Likelihood of exploitation), 보고서의 품질에 따라 차등적으로 지급됩니다. 버그 제보에 대한 보상은 다음과 같이 삼 단계로 분류되어 지급됩니다:

  • 중요함(Critical) — $2,000 혹은 그 이상
  • 평범함(Medium) — $600 혹은 그 이상
  • 간단함(Low) — 최대 $200

모든 보상은 USDT 혹은 IRIS 토큰으로 지급됩니다. 보상이 주어지는 시점의 토큰 가격을 기준으로 보상이 지급됩니다.

아이리스 넷의 코어 개발팀은 모든 버그 제보를 평가하고, 제보의 중요성에 대해 정량적으로 평가할 책임을 가집니다. 개발팀이 버그의 심각성과 보고서의 품질을 고려해 결정한 보상이 제보자에게 주어질 것입니다.

만약, 우리가 중복된 버그 제보를 받은 경우 가장 먼저 제보한 사람에게 보상을 지급합니다.

버그 카테고리 (심각도 기준) [Bug Categories (by level of severity)]:

  • 중요함(Critical): 합의를 실패하게 만들거나, 블록 생성을 멈추게 만드는 버그 / 정직한 노드들에게 불이익을 주는 버그 / 토큰을 훔치거나 임의로 분배하는 버그 / 온-체인 거버넌스와 소프트웨어 업그레이드 과정을 무력화시키는 버그 / 메모리 누수와 비정상적인 리소스 소모 버그
  • 평범함(Medium): 한계 상황, 흔히 발생하지 않는 상황에서 발생하는 예상치못한 버그 / 정상적이지 않은 Tx가 성공적으로 처리되는 버그 / Tx가 정상적으로 처리된 후 발생하는 예상치 못한 버그 / 합의 과정에 영향을 주지 않는 개별적인 버그
  • 간단함(Low): LCD 클라이언트와 CLI에서 발생한 버그 / 비-Tx 쿼리 커맨드 실패 버그

바운티 프로그램에서 보상을 받기 위해서 필요한 조건(To be eligible for a reward under this program):

  • 코스모스-SDK/텐더민트에서 알려지지 않은 보안 이슈여야 합니다.
  • 비잔틴 노드의 보팅 파워가 전체의 보팅 파워의 1/3을 초과해서는 안됩니다.
  • 버그 제보시 재현 가능한 절차와 버그 발생 빈도를 내용에 포함시켜야 합니다 (docker-compose configuration, log files, shell.sh, 등 필요한 정보가 제공되어야 합니다).
  • 서버는 반드시 64-비트 리눅스로 구동되어야 하며, 4G 이상의 저장공간을 가진 상황에서 테스트가 이뤄저야 합니다.
  • 버그가 제보된 시점의 깃허브 개발 브랜치(Develop branch)의 커밋 상태에서 버그가 재현될 수 있어야 한다.
  • 보안 관련 버그는 테스트와 관련된 코드에서 발생하는 이슈가 아니어야 합니다.
  • 아이리스 넷 프로젝트를 대상으로 버그 코드를 만들거나 혹은 버그 코드를 만드는데 기여한 사람은 보상을 받을 자격을 박탈당합니다.

프로그램 범위 : (Program Scope:)

현재, 아래에 명시된 아이리스 넷 레퍼지토리들은 버그 바운티 프로그램이 적용됩니다. 그러므로 해당 레퍼지토리에서 발견된 버그를 신고할 경우 보상을 받을 수 있습니다 (일부 하위-패키지 파일과 파일들은 버그 바운티 프로그램이 적용되지 않습니다).

irisnet/irishub

유효: the masterbranch under github.com/irisnet/irishub

유효하지 않음:

  • iristool command set
  • github.com/irisnet/irishub/docs
  • github.com/irisnet/irishub/scripts
  • github.com/irisnet/irishub/tests
  • github.com/irisnet/irishub/tools
  • github.com/irisnet/irishub/modules/mock

irisnet/irisnet-crypto

유효: the masterbranch undergithub.com/irisnet/irisnet-crypto

irisnet/irishub-sync

유효: the masterbranch undergithub.com/irisnet/irishub-sync

irisnet/irishub-server

유효: the masterbranch undergithub.com/irisnet/irishub-server

버그 조사 및 보고(Investigating and Reporting Bugs)

만약 취약점을 발견한 경우 해당 깃허브 레퍼지토리의 이슈로 제보해주시기 바랍니다 (제목 맨 앞에 [Bounty]를 붙여주시기 바랍니다). 우리는 기술적인 취약점 제보만 응답할 것임을 밝힙니다. 아이리스 코어 개발자들이 제보된 이슈를 검토한 뒤 버그의 중요성과 유효성을 판단해 라벨을 붙일 것 입니다.

면책 조항(Safe Harbor)

아이리스 재단(IRIS Foundation)은 국내 법률 및 규제를 준수합니다. 또한 아이리스 넷 버그 바운티 프로그램의 룰과 보상에 대한 최종 해석 권한을 보유합니다.

본 정책에 따라 수행된 모든 활동은 승인된 행위로 간주되며, 귀하를 상대로 법적인 조치를 취하지 않습니다. 만약 제3자가 본 정책에 따라 수행된 활동과 관련해 법적인 조치를 취한 경우, 우리는 귀하의 활동이 정책을 준수하며 수행됐음을 알리는 조치를 취할 것 입니다.


Join the community

CØSMOS Korea community


※이 글은 IRISnet팀의 동의 하에 번역된 글입니다. 번역글 배포시 출처를 남겨주세요.

원문링크: https://medium.com/irisnet-blog/opened-irisnet-bug-bounty-program-for-mainnet-launch-30627e00e2e

원문저자: IRISnet

원문날짜: 2018/12/27

Lunamint ATLAS

Guide to the CØSMOS Ecosystem

CØSMOS Korea

Written by

대한민국 코스모스 커뮤니티 // Community-organized Cosmosnaut Group

Lunamint ATLAS

Guide to the CØSMOS Ecosystem