Bug-Bounty-Programm

Programmziele

  • Bauen Sie eine breitere Experten-Community mit Kenntnissen des Protokolls auf 
  • Fördern Sie eine regelmäßige und proaktive Prüfung des Kodex durch Dritte
  • Definieren Sie einen Kopfgeldprozess und eine Belohnungsstruktur, um Klarheit darüber zu schaffen, was verdient werden kann

Wie wird der Bug-Bounty-Prozess ablaufen?

Nachfolgend haben wir die wichtigsten Elemente des Haven-Protokoll-Berichtsprozesses zusammengefasst:

  1. Was ist ein qualifizierendes Problem?
  2. Wie Probleme gemeldet werden sollten
  3. So werden Probleme bearbeitet
  4. Die Kopfgeldbelohnungsstruktur

Was ist ein Qualifizierungsproblem?

BandEinzelheiten
1Kleinere UX/UI-Bugs oder Probleme, die ansonsten wenig Schaden am Netzwerk oder Probleme für Benutzer verursachen würden
2Netzwerk- oder Infrastrukturfehler oder Probleme, die, wenn sie nicht behoben werden, zu Sicherheits-, Stabilitäts- oder Servicezuverlässigkeitsproblemen führen können. Kann nicht zeitkritisch sein.
3Netzwerk- oder Infrastrukturfehler oder Probleme, die zum Diebstahl von Coins aus den Wallets des Benutzers, ungültigen Daten zur Kette, Gebührenmanipulation oder ungültigem Senden führen können.
4Zeitkritische kritische Netzwerk- oder Infrastrukturfehler oder Probleme, die, wenn sie ungelöst bleiben, wahrscheinlich zu einem groß angelegten Netzwerkausfall und/oder illegaler Münzprägung führen würden, die eine Inflation verursachen.

Dieses Bounty-Programm gilt für jedes Problem, das in einem neuesten Release-Zweig/Tag oder einem HEAD of Master- oder Developer-Zweig der folgenden Github-Repositorys gefunden wird.

Darüber hinaus konnten unkritische (Band 1) Probleme gefunden werden in 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Alle anderen gemeldeten Probleme außerhalb der obigen Definitionen werden auf ihre Auswirkungen auf das Projekt geprüft und entsprechend entlohnt.

So melden Sie ein Problem

Kritische Fragen

Kritische oder zeitkritische Probleme sollten per E-Mail an alle Empfänger in der unten stehenden Liste gemeldet werden. Bei sensiblen Daten, die zum Hacken oder Sabotieren des Netzwerks verwendet werden könnten, verwenden Sie bitte die PGP-Verschlüsselung. Öffentlicher Schlüssel:

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=g/J8

-----END PGP PUBLIC KEY BLOCK-----

Senden Sie E-Mails an: [email protected]

Diese E-Mails werden automatisch an wichtige Mitglieder des Kernteams weitergeleitet.

Nicht kritische Probleme

Solange kein Risiko für das Netzwerk besteht, können unkritische Probleme den Mitgliedern des Kernteams per Direktnachricht in unseren üblichen Kommunikationskanälen gemeldet werden:

Zwietracht: https://discordapp.com/invite/CCtNxfG

Telegramm: https://t.me/XHVHavenProtocol

Twitter: https://twitter.com/HavenXHV

GitHub


Bitte beachten Sie, dass über Github gemeldete Probleme möglicherweise öffentlich einsehbar sind und nicht für kritische Fehler verwendet werden sollten, es sei denn, dies geschieht privat:

https://github.com/haven-protocol-org

Mehrere Berichte

In einem Fall, in dem mehr als eine Person ein identisches Problem meldet, wird diejenige, die es zuerst im richtigen Format meldet, für die Kopfgeldbelohnung berücksichtigt. 

Wenn ein Problem in Zusammenarbeit mit einer anderen Person gemeldet wird, wird die Belohnung nach den gemeinsamen Wünschen der Beteiligten aufgeteilt.

Bekannte Probleme

Wenn eine Person ein bereits bekanntes Problem meldet, wird keine Kopfgeldprämie ausgezahlt.

Wie werden Probleme bearbeitet?

Nach der Protokollierung werden alle Probleme entweder vom Projektleiter, Projektmanager oder Protokollleiter bearbeitet und der/den relevanten Person(en) zur Untersuchung zugewiesen. 

Wenn festgestellt wird, dass das Problem schwerwiegend genug ist, wird ein Treffen für alle Mitglieder des Kernteams (Reaktionsteam) einberufen, um eine Reaktion zu koordinieren.

Prämienzahlungen erfolgen innerhalb von 30 Tagen.

Kopfgeld-Belohnungsstruktur

Die hier skizzierte Struktur soll ein gewisses Maß an Transparenz für die Prämienzahlungen bieten. 

Aufgrund der Komplexität des Codes und der Infrastruktur kann es vorkommen, dass Zahlungen außerhalb der oben aufgeführten Bandbreiten liegen. 

Die Qualität der Einreichung wird ein Faktor für die Höhe der berücksichtigten Vergütung sein.

Bitte fügen Sie Ihrer Einreichung Folgendes bei:

  • Beschreibung des Problems
  • Beschreibung der möglichen Sicherheitsauswirkungen des Problems
  • Die betroffene Ressource. zB URL, GitHub-Code-Snippet, Transaktionstyp usw.
  • Alle anderen relevanten Informationen

HINWEIS: Bitte geben Sie keine gefundenen Probleme in irgendeiner Form an Personen außerhalb des Kernteams weiter. Dies gibt dem Projekt eine angemessene Zeit, um zu reagieren. Die Weitergabe an Dritte kann die Berechtigung zum Bug-Bounty disqualifizieren.

Zu den verantwortungsvollen Ermittlungen und Meldungen gehören unter anderem die folgenden:

  • Verletzen Sie nicht die Privatsphäre anderer Benutzer, zerstören Sie keine Daten usw.
  • Betrügen oder schädigen Sie das Haven-Protokoll-Netzwerk oder seine Benutzer während Ihrer Recherche nicht; Sie sollten sich nach Treu und Glauben bemühen, unsere Dienste nicht zu unterbrechen oder zu beeinträchtigen.
  • Greifen Sie nicht auf die Sicherheitsmaßnahmen des Netzwerks zu und versuchen Sie nicht, Social Engineering, Spam, Distributed Denial of Service (DDoS)-Angriffe usw.
  • Das Problem sollte nur an die Mitglieder des Haven-Kernteams und nicht an andere Personen gemeldet werden.
  • Geben Sie uns eine angemessene Zeit, um den Fehler zu beheben, bevor Sie ihn an andere weitergeben, und geben Sie uns eine angemessene schriftliche Warnung, bevor Sie ihn an andere weitergeben.
  • Im Allgemeinen untersuchen und melden Sie Fehler bitte auf eine Weise, die angemessen und nach Treu und Glauben bemüht ist, das Protokoll oder seine Benutzer nicht zu stören oder zu schädigen. Andernfalls könnten Ihre Handlungen als Angriff und nicht als Versuch interpretiert werden, hilfreich zu sein .

Kopfgeldzahlungen werden vom Haven Protocol Team verwaltet und erfolgen in xUSD. Dies sorgt für Wertsicherheit bei der Berichterstattung/Behebung von Problemen und kommt dem Projekt-Treasury zugute, indem die Budgetierung und Buchhaltung vereinfacht wird.

Bei Streitigkeiten mit Kopfgeldzahlungen bestimmt das Reaktionsteam den Schweregrad (Band).

Kopfgeldzahlungsbänder

Due to out project lacking in funds, it is not currently possible to pay bug bounties.
If you are willing to contribute to the project, we welcome it. Thank you.

BandNiedrigere ZahlungenObere Zahlungen
1$0$0
2$0$0
3$0$0
4$0$0

Bitte beachten Sie, dass die Kernentwickler/Mitwirkenden die Entscheidung über die Berechtigung des Kopfgeldanspruchs treffen. Dies kann nicht angefochten werden und ist endgültig. 

Dies ist die erste Iteration des Haven-Bug-Bounty-Programms und wird daher regelmäßig überprüft, um sicherzustellen, dass es seinen Zweck erfüllt.

de_DE_formalDeutsch (Sie)