Wenn Sie in der Lage sind, zu spenden und zum Haven-Projekt beizutragen, bitte klicken Sie hier. Danke schön.
Bug-Bounty-Programm
Programmziele
- Bauen Sie eine breitere Experten-Community mit Kenntnissen des Protokolls auf
- Fördern Sie eine regelmäßige und proaktive Prüfung des Kodex durch Dritte
- Definieren Sie einen Kopfgeldprozess und eine Belohnungsstruktur, um Klarheit darüber zu schaffen, was verdient werden kann
Wie wird der Bug-Bounty-Prozess ablaufen?
Nachfolgend haben wir die wichtigsten Elemente des Haven-Protokoll-Berichtsprozesses zusammengefasst:
- Was ist ein qualifizierendes Problem?
- Wie Probleme gemeldet werden sollten
- So werden Probleme bearbeitet
- Die Kopfgeldbelohnungsstruktur
Was ist ein Qualifizierungsproblem?
| Band | Einzelheiten |
| 1 | Kleinere UX/UI-Bugs oder Probleme, die ansonsten wenig Schaden am Netzwerk oder Probleme für Benutzer verursachen würden |
| 2 | Netzwerk- oder Infrastrukturfehler oder Probleme, die, wenn sie nicht behoben werden, zu Sicherheits-, Stabilitäts- oder Servicezuverlässigkeitsproblemen führen können. Kann nicht zeitkritisch sein. |
| 3 | Netzwerk- oder Infrastrukturfehler oder Probleme, die zum Diebstahl von Coins aus den Wallets des Benutzers, ungültigen Daten zur Kette, Gebührenmanipulation oder ungültigem Senden führen können. |
| 4 | Zeitkritische kritische Netzwerk- oder Infrastrukturfehler oder Probleme, die, wenn sie ungelöst bleiben, wahrscheinlich zu einem groß angelegten Netzwerkausfall und/oder illegaler Münzprägung führen würden, die eine Inflation verursachen. |
Dieses Bounty-Programm gilt für jedes Problem, das in einem neuesten Release-Zweig/Tag oder einem HEAD of Master- oder Developer-Zweig der folgenden Github-Repositorys gefunden wird.
- https://github.com/haven-protocol-org/haven-main
- https://github.com/haven-protocol-org/haven-web-core
- https://github.com/haven-protocol-org/haven-web-app
- https://github.com/haven-protocol-org/haven-web-cpp
- https://github.com/haven-protocol-org/node-cryptoforknote-util
Darüber hinaus konnten unkritische (Band 1) Probleme gefunden werden in
https://github.com/haven-protocol-org/haven-blockchain-explorer
Alle anderen gemeldeten Probleme außerhalb der obigen Definitionen werden auf ihre Auswirkungen auf das Projekt geprüft und entsprechend entlohnt.
So melden Sie ein Problem
Kritische Fragen
Kritische oder zeitkritische Probleme sollten per E-Mail an alle Empfänger in der unten stehenden Liste gemeldet werden. Bei sensiblen Daten, die zum Hacken oder Sabotieren des Netzwerks verwendet werden könnten, verwenden Sie bitte die PGP-Verschlüsselung. Öffentlicher Schlüssel:
-----BEGIN PGP PUBLIC KEY BLOCK-----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=g/J8
-----END PGP PUBLIC KEY BLOCK-----Senden Sie E-Mails an: [email protected]
Diese E-Mails werden automatisch an wichtige Mitglieder des Kernteams weitergeleitet.
Nicht kritische Probleme
Solange kein Risiko für das Netzwerk besteht, können unkritische Probleme den Mitgliedern des Kernteams per Direktnachricht in unseren üblichen Kommunikationskanälen gemeldet werden:
Zwietracht: https://discordapp.com/invite/CCtNxfG
Telegramm: https://t.me/XHVHavenProtocol
Twitter: https://twitter.com/HavenXHV
GitHub
Bitte beachten Sie, dass über Github gemeldete Probleme möglicherweise öffentlich einsehbar sind und nicht für kritische Fehler verwendet werden sollten, es sei denn, dies geschieht privat:
https://github.com/haven-protocol-org
Mehrere Berichte
In einem Fall, in dem mehr als eine Person ein identisches Problem meldet, wird diejenige, die es zuerst im richtigen Format meldet, für die Kopfgeldbelohnung berücksichtigt.
Wenn ein Problem in Zusammenarbeit mit einer anderen Person gemeldet wird, wird die Belohnung nach den gemeinsamen Wünschen der Beteiligten aufgeteilt.
Bekannte Probleme
Wenn eine Person ein bereits bekanntes Problem meldet, wird keine Kopfgeldprämie ausgezahlt.
Wie werden Probleme bearbeitet?
Nach der Protokollierung werden alle Probleme entweder vom Projektleiter, Projektmanager oder Protokollleiter bearbeitet und der/den relevanten Person(en) zur Untersuchung zugewiesen.
Wenn festgestellt wird, dass das Problem schwerwiegend genug ist, wird ein Treffen für alle Mitglieder des Kernteams (Reaktionsteam) einberufen, um eine Reaktion zu koordinieren.
Prämienzahlungen erfolgen innerhalb von 30 Tagen.
Kopfgeld-Belohnungsstruktur
Die hier skizzierte Struktur soll ein gewisses Maß an Transparenz für die Prämienzahlungen bieten.
Aufgrund der Komplexität des Codes und der Infrastruktur kann es vorkommen, dass Zahlungen außerhalb der oben aufgeführten Bandbreiten liegen.
Die Qualität der Einreichung wird ein Faktor für die Höhe der berücksichtigten Vergütung sein.
Bitte fügen Sie Ihrer Einreichung Folgendes bei:
- Beschreibung des Problems
- Beschreibung der möglichen Sicherheitsauswirkungen des Problems
- Die betroffene Ressource. zB URL, GitHub-Code-Snippet, Transaktionstyp usw.
- Alle anderen relevanten Informationen
HINWEIS: Bitte geben Sie keine gefundenen Probleme in irgendeiner Form an Personen außerhalb des Kernteams weiter. Dies gibt dem Projekt eine angemessene Zeit, um zu reagieren. Die Weitergabe an Dritte kann die Berechtigung zum Bug-Bounty disqualifizieren.
Zu den verantwortungsvollen Ermittlungen und Meldungen gehören unter anderem die folgenden:
- Verletzen Sie nicht die Privatsphäre anderer Benutzer, zerstören Sie keine Daten usw.
- Betrügen oder schädigen Sie das Haven-Protokoll-Netzwerk oder seine Benutzer während Ihrer Recherche nicht; Sie sollten sich nach Treu und Glauben bemühen, unsere Dienste nicht zu unterbrechen oder zu beeinträchtigen.
- Greifen Sie nicht auf die Sicherheitsmaßnahmen des Netzwerks zu und versuchen Sie nicht, Social Engineering, Spam, Distributed Denial of Service (DDoS)-Angriffe usw.
- Das Problem sollte nur an die Mitglieder des Haven-Kernteams und nicht an andere Personen gemeldet werden.
- Geben Sie uns eine angemessene Zeit, um den Fehler zu beheben, bevor Sie ihn an andere weitergeben, und geben Sie uns eine angemessene schriftliche Warnung, bevor Sie ihn an andere weitergeben.
- Im Allgemeinen untersuchen und melden Sie Fehler bitte auf eine Weise, die angemessen und nach Treu und Glauben bemüht ist, das Protokoll oder seine Benutzer nicht zu stören oder zu schädigen. Andernfalls könnten Ihre Handlungen als Angriff und nicht als Versuch interpretiert werden, hilfreich zu sein .
Kopfgeldzahlungen werden vom Haven Protocol Team verwaltet und erfolgen in xUSD. Dies sorgt für Wertsicherheit bei der Berichterstattung/Behebung von Problemen und kommt dem Projekt-Treasury zugute, indem die Budgetierung und Buchhaltung vereinfacht wird.
Bei Streitigkeiten mit Kopfgeldzahlungen bestimmt das Reaktionsteam den Schweregrad (Band).
Kopfgeldzahlungsbänder
| Band | Niedrigere Zahlungen | Obere Zahlungen |
| 1 | $50 | $250 |
| 2 | $250 | $2,500 |
| 3 | $2,500 | $10,000 |
| 4 | $10,000 | $50,000 |
Bitte beachten Sie, dass die Kernentwickler/Mitwirkenden die Entscheidung über die Berechtigung des Kopfgeldanspruchs treffen. Dies kann nicht angefochten werden und ist endgültig.
Dies ist die erste Iteration des Haven-Bug-Bounty-Programms und wird daher regelmäßig überprüft, um sicherzustellen, dass es seinen Zweck erfüllt.
Deutsch (Sie) 
English (UK) 
简体中文 
Nederlands (Formeel) 
Français 
Português 
Español 
Italiano 
Bahasa Indonesia