Programmivigadest teatamise programm

SpectroCoin on pühendunud oma kasutajatele turvalise keskkonna pakkumisele. Kuigi meie IT-meeskond annab endast parima, et kõikvõimalikud haavatavused meie platvormil üles leida, on alati väike võimalus, et mõni neist on kahe silma vahele jäänud. Seetõttu otsustasime kasutusele võtta programmivigadest teatamise preemiaprogrammi. Kõik SpectroCoini kasutajad saavad programmis osaleda ja teenida preemiaid, teatades meie süsteemis leitud vigadest.

Preemiad

SpectroCoin ei ole programmivigade avastamise eest määranud maksimaalset tasu - otsus kõrgema preemia eraldamiseks tehakse sõltuvalt teatatud programmivea tõsidusest. Maksed on jagatud vastavalt allpool toodud juhistele, kuid lõpliku preemia summa kindlaksmääramine jääb SpectroCoini otsustada. Sobilike programmivigade preemiad makstakse välja bitcoini või etheri vääringus.

Preemiat võidakse suurendada järgmistel alusel:

  • Kirjalduse kvaliteet. Selgeid ja põhjalike veaaruandeid tasustatakse kõrgemate preemiatega.
  • Programmivea tõendite kvaliteet. Kõrgema preemiaga tasustatakse aruandeid, kus on esitatud testimiskoodid, skriptid ja üksikasjalikud juhised.
  • Programmivea parandamise juhiste kvaliteet. Kõrgema preemiaga tasustatakse aruandeid, kus on esitatud ettepanekud programmivea kõrvaldamiseks.
Sinine vektor puukProgrammiviga
Preemia
Kriitiline$4,000 - $15,000
Kõrge$1,000 - $4,000
Keskmine$200 - $1,000
Madalkuni $200
Preemia väljamaksmisel võetakse arvesse ainult tundmatuid ja varem teatamata programmivigasid.
Preemia avastatud programmivea kohta makstakse välja ainult ühe korra. Kui ühe ja sama programmivea kohta esitatakse mitu avaldust, saab preemia esimene programmivea esitaja.
Preemia väljamaksmiseks ei tohi olla mingeid õiguslikke takistusi (nt te ei tohi programmis osaleda, kui olete resident või elate riigis, mille suhtes kehtivad rahvusvahelised sanktsioonid, sealhulgas, kuid mitte ainult, EÜ, FATF, USA, ÜRO).
SpectroCoin jätab endale õiguse otsustada programmivigade olulisuse üle, sealhulgas nende sobivuse osas preemia saamiseks. Programmivea esitamisega nõustute järgima ülaltoodud reegleid.
Kolm sinist ja kollast kuubikut

Kuidas teatada programmiveast?

  1. Programmivigade aruanne peab sisaldama üksikasjalikku samm-sammulist vea kirjeldust, mis võimaldab avastatud programmiviga taasesitada ja hinnata. Näiteks veebiga seonduvate vigade aruanne peab sisaldama vähemalt:
    • HTTP päringud/vastused koos mõjutatud parameetritega
    • Kuvatõmmised või videod (vajadusel)
    • Veebibrauseri kirjeldus (tüüp), OS, seadme ja/või rakenduse versioon
    • Programmivea tajutava mõju kirjeldus
    • Soovitused probleemi lahendamiseks (valikuline)
  2. Progammiveaga seotud faile ja/või üksikasju ei tohi jagada avalikult. See hõlmab üleslaadimisi kõigile avalikult juurdepääsetavatele veebisaitidele (näiteks YouTube, Imgur, Pastebin jne).
  3. Krüpteeri saadetav sõnum ja kõik manused meie PGP avaliku võtme abil (saadaval allpool).
  4. Tasu saamiseks lisa oma BTC/ETH aadress.
  5. Programmivigade aruanne saada aadressile [email protected].

Kui küberturvalisuse meeskonnal ei õnnestu programmiviga taasluua ja kinnitada, siis ei kuulu preemia väljamaksmisele.

Kopeeri võti:
Teata programmiveast

Sobivus (ulatus)

Kõik SpectroCoin poolt pakutavad teenused kuuluvad vigadest teatamise preemiaprogrammi, sealhulgas SpectroCoin iOS ja Android rakendused, SpectroCoini rahakott, API liides, äriühingu tööriistad, kaardid ja vahetusteenused. Üldiselt peetakse piisavalt kriitiliseks vigu, mis võivad põhjustada rahalist kahju või andmete kadumist, näiteks:

  • Päringuvõltsingud (CSRF)
  • Murdskriptimine (XSS)
  • Koodisüstimine (Code Injection)
  • Koodi kaugkäivitamine (Remote Code Execution)
  • Õiguste vallutus (Privilege Escalation)
  • Autentimisest möödahiilimine (Authentication Bypass)
  • Klõpsurööv (Clickjacking)
  • Tundliku teabe lekkimine (Leakage of Sensitive Data)

Sobimatus (ulatusest väljas)

Reeglina ei ole järgmised haavatavused piisavalt tõsised:

  • DNSSEC puudumine
  • HTTP päisesüst ilma kindla ja tõestatava mõjuta
  • Flash põhine ärakasutus
  • Autentimist mittevajavatel vormidel või mittetundlikel toimingutel teostatav CSRF
  • Klõpsurööv lehtedel, millel pole tundlikke toiminguid
  • Programmivead, mis vajavad MITM tuge või füüsilist ligipääsu kasutaja veebibrauserile, e-posti kontole, nutitelefonile ja probleemid lahti murtud seadmetega
Kuubik suurema kuubiku sees

Vastutustundlik avalikustamine

Vastutustundlik avalikustamine hõlmab muu hulgas järgmist:

  1. Mõistliku aja tagamine probleemi lahendamiseks enne selle mujal avaldamist.
  2. Teiste kasutajate privaatsuse austamine, mis tahes andmete hävitamisest või meie teenuste häirimisest hoidumine jms (heauskne tegutsemine).
  3. Programmivea avastamise protsessis Bankera kasutajate või Bankera enda petmisest hoidumine (ei suhtle individuaalse kontoga, mis hõlmab konto muutmist või konto andmetele juurdepääsu).
  4. Konto juurdepääsu vajavate toimingute puhul oma konto kasutamine.
  5. Kogemata privaatsetele andmetele ligipääsedes kõigi vastavate andmete kustutamine, sealhulgas juurdepääsukoodid, privaatsed andmed jms.
  6. Kui Teil oli tarkvara vea korral võimalus kasutada ja/või liigutada Bankera raha, kohustute kogu summa Bankerale tagastama.
* Vastutustundliku programmivigade avalikustamise julgustamiseks ei algatata menetlust programmivigade uurijate vastu, kes juhivad tähelepanu probleemile, kui nad teevad kõik endast oleneva vastavate juhiste järgimiseks.

Aidake meil SpectroCoini turvalisena hoida

Teata programmiveast