Programme de primes aux insectes

Objectifs du programme

  • Construire une communauté plus large d'experts connaissant le protocole 
  • Encourager un audit régulier et proactif du code par des tiers
  • Définir un processus de primes et une structure de récompense pour clarifier ce qui peut être gagné

Comment le processus de bug bounty fonctionnera-t-il ?

Nous avons résumé ci-dessous les éléments clés du processus de rapport du protocole Haven :

  1. Qu'est-ce qui constitue une question admissible
  2. Comment les problèmes doivent être signalés
  3. Comment les problèmes seront traités
  4. La structure de récompense des primes

Qu'est-ce qui constitue un problème de qualification?

BandeDes détails
1Bugs ou problèmes mineurs d'UX/UI qui causeraient autrement peu de dommages au réseau ou de problèmes pour les utilisateurs
2Des bogues ou des problèmes de réseau ou d'infrastructure qui, s'ils ne sont pas résolus, pourraient entraîner des problèmes de sécurité, de stabilité ou de fiabilité du service. Peut ne pas être sensible au temps.
3Bogues ou problèmes de réseau ou d'infrastructure pouvant entraîner le vol de pièces dans les portefeuilles des utilisateurs, des données invalides sur la chaîne, une manipulation des frais ou des tx invalides.
4Des bogues ou des problèmes critiques de réseau ou d'infrastructure qui, s'ils ne sont pas résolus, entraîneraient probablement une panne de réseau à grande échelle et/ou la frappe illégale de pièces qui causent l'inflation.

Ce programme de primes s'applique à tout problème trouvé dans une branche/étiquette de dernière version, ou un HEAD de master ou de développer une branche des référentiels Github suivants.

De plus, des problèmes non critiques (bande 1) pourraient être trouvés dans 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Tout autre problème signalé, en dehors des définitions ci-dessus, sera pris en compte en fonction de son impact sur le projet et récompensé en conséquence.

Comment signaler un problème

Des problèmes critiques

Les problèmes critiques ou urgents doivent être signalés par e-mail à tous les destinataires de la liste ci-dessous. Dans le cas de détails sensibles qui pourraient être utilisés pour pirater ou saboter le réseau, veuillez utiliser le cryptage PGP. Clé publique:

----BEGIN PGP PUBLIC KEY BLOCK-----
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=g/J8

-----END PGP PUBLIC KEY BLOCK-----

Envoyez des e-mails à : [email protected]

Ces e-mails sont transmis automatiquement aux membres clés de l'équipe principale.

Problèmes non critiques

Tant qu'il n'y a aucun risque pour le réseau, les problèmes non critiques peuvent être signalés aux membres de l'équipe principale via un message direct dans nos canaux de communication habituels :

Discorde: https://discordapp.com/invite/CCtNxfG

Télégramme: https://t.me/XHVHavenProtocol

Twitter: https://twitter.com/HavenXHV

GitHub


Veuillez garder à l'esprit que les problèmes signalés via Github peuvent être visibles publiquement et ne doivent pas être utilisés pour les bogues critiques, sauf si cela est fait en privé :

https://github.com/haven-protocol-org

Rapports multiples

Dans le cas où plus d'une personne signale un problème identique, la première à le signaler dans le bon format sera prise en compte pour la récompense de prime. 

Lorsqu'un problème est signalé en collaboration avec une autre personne, la récompense sera répartie selon les souhaits communs des personnes concernées.

Problèmes connus

Lorsqu'une personne signale un problème déjà connu, une récompense de prime ne sera pas payable.

Comment les problèmes seront-ils traités ?

Une fois enregistrés, tous les problèmes seront traités par le chef de projet, le chef de projet ou le responsable du protocole et assignés à la ou aux personnes concernées pour enquête. 

Lorsque le problème est jugé suffisamment grave, une réunion sera convoquée pour tous les membres de l'équipe principale (équipe d'intervention) afin de coordonner une intervention.

Le paiement des primes se fera dans les 30 jours.

Structure de récompense de prime

La structure décrite ici est de fournir un niveau de transparence pour les paiements de primes. 

En raison de la complexité du code et de l'infrastructure impliqués, il y aura des occasions où les paiements peuvent tomber en dehors des bandes énumérées ci-dessus. 

La qualité de la soumission sera un facteur dans le niveau de rémunération envisagée.

Veuillez inclure les éléments suivants dans votre soumission :

  • Description du problème
  • Description de l'impact potentiel du problème sur la sécurité
  • La ressource affectée. par exemple URL, extrait de code GitHub, type de transaction, etc.
  • Toute autre information pertinente

REMARQUE: Veuillez ne pas divulguer les problèmes trouvés à qui que ce soit, sous quelque forme que ce soit, en dehors de l'équipe principale. Cela donnera au projet un délai approprié pour réagir. La divulgation à des tiers peut disqualifier l'éligibilité au bug bounty.

Les enquêtes et les rapports responsables incluent, sans s'y limiter, les éléments suivants :

  • Ne pas violer la vie privée des autres utilisateurs, détruire les données, etc.
  • Ne pas frauder ou nuire au réseau du protocole Haven ou à ses utilisateurs pendant votre recherche ; vous devez faire un effort de bonne foi pour ne pas interrompre ou dégrader nos services.
  • Ne ciblez pas les mesures de sécurité du réseau et ne tentez pas d'utiliser l'ingénierie sociale, le spam, les attaques par déni de service distribué (DDoS), etc.
  • Le problème ne doit être signalé qu'aux membres de l'équipe principale Haven et à personne d'autre.
  • Donnez-nous un délai raisonnable pour corriger le bogue avant de le divulguer à quelqu'un d'autre, et donnez-nous un avertissement écrit adéquat avant de le divulguer à quelqu'un d'autre.
  • En général, veuillez enquêter et signaler les bogues d'une manière qui fait un effort raisonnable et de bonne foi pour ne pas perturber ou nuire au protocole ou à ses utilisateurs, sinon vos actions pourraient être interprétées comme une attaque plutôt que comme un effort pour être utile .

Les paiements des primes seront administrés par l'équipe du protocole Haven et seront en xUSD. Cela permet d'avoir une valeur sûre pour ceux qui signalent/résolvent des problèmes et profite à la trésorerie du projet en simplifiant le processus de budgétisation et de comptabilité.

En cas de litige avec le paiement des primes, l'équipe d'intervention déterminera le niveau (bande) de gravité.

Bandes de paiement des primes

BandePaiements inférieursPaiements supérieurs
1$50$500
2$500$5,000
3$5,000$25,000
4$25,000$100,000

Veuillez noter que les principaux développeurs/contributeurs prendront la décision quant à l'éligibilité de la demande de prime. Ceci ne peut être contesté et est définitif. 

Il s'agit de la première itération du programme de primes de bogues Haven et, en tant que tel, sera régulièrement révisé pour s'assurer qu'il reste adapté à l'objectif.

fr_FRFrançais