Programma Bug Bounty

Obiettivi del programma

  • Costruisci una più ampia comunità di esperti con conoscenza del protocollo 
  • Incoraggiare un controllo regolare e proattivo del codice da parte di terzi
  • Definire un processo di ricompensa e una struttura di ricompensa per dare chiarezza su ciò che può essere guadagnato

Come funzionerà il processo del bug bounty?

Abbiamo riassunto di seguito gli elementi chiave del processo di reporting del protocollo Haven:

  1. Cosa costituisce un problema di qualificazione
  2. Come devono essere segnalati i problemi
  3. Come verranno elaborati i problemi
  4. La struttura della ricompensa in taglie

Che cosa costituisce un problema di qualificazione?

Gruppo musicaleParticolari
1Bug minori UX/UI o problemi che altrimenti causerebbero pochi danni alla rete o problemi per gli utenti
2Bug o problemi della rete o dell'infrastruttura che, se non risolti, potrebbero portare a problemi di sicurezza, stabilità o affidabilità del servizio. Potrebbe non essere sensibile al tempo.
3Bug o problemi della rete o dell'infrastruttura che potrebbero comportare il furto di monete dai portafogli degli utenti, dati non validi sulla catena, manipolazione delle commissioni o tx non valido.
4Bug o problemi critici della rete o dell'infrastruttura sensibili al tempo che, se lasciati irrisolti, potrebbero portare a un'interruzione della rete su larga scala e/o al conio illegale di monete che causano inflazione.

Questo programma di ricompensa si applica a qualsiasi problema riscontrato in un ramo/tag di ultima versione o in un HEAD di master o ramo di sviluppo dei seguenti repository Github.

Inoltre, problemi non critici (banda 1) potrebbero essere trovati in 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Eventuali altri problemi segnalati, al di fuori delle definizioni di cui sopra, saranno considerati nel loro impatto sul progetto e premiati di conseguenza.

Come segnalare un problema

Problemi critici

I problemi critici o urgenti devono essere segnalati via e-mail a tutti i destinatari nell'elenco di seguito. In caso di dettagli sensibili che potrebbero essere utilizzati per hackerare o sabotare la rete, utilizzare la crittografia PGP. Chiave pubblica:

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=g/J8

-----END PGP PUBLIC KEY BLOCK-----

Invia email a: [email protected]

Queste e-mail vengono inoltrate automaticamente ai membri chiave del team principale.

Problemi non critici

Finché non vi è alcun rischio per la rete, i problemi non critici possono essere segnalati ai membri del team principale tramite messaggio diretto nei nostri soliti canali di comunicazione:

Discordia: https://discordapp.com/invite/CCtNxfG

Telegramma: https://t.me/XHVHavenProtocol

Cinguettio: https://twitter.com/HavenXHV

GitHub


Tieni presente che i problemi segnalati tramite Github possono essere visualizzabili pubblicamente e non devono essere utilizzati per bug critici a meno che non vengano fatti in privato:

https://github.com/haven-protocol-org

Rapporti multipli

Nel caso in cui più di una persona segnali un problema identico, verrà presa in considerazione per la ricompensa la prima che lo riporterà nel formato corretto. 

Laddove un problema venga segnalato in collaborazione con un'altra persona, il premio verrà suddiviso in base ai desideri comuni delle persone coinvolte.

Problemi noti

Se una persona segnala un problema già noto, non sarà corrisposta una ricompensa.

Come verranno elaborati i problemi?

Una volta registrati, tutti i problemi verranno elaborati dal responsabile del progetto, dal responsabile del progetto o dal responsabile del protocollo e assegnati alla persona o alle persone interessate per l'indagine. 

Laddove il problema sia ritenuto abbastanza serio, verrà convocata una riunione per tutti i membri del team principale (team di risposta) per coordinare una risposta.

Il pagamento della taglia avverrà entro 30 giorni.

Struttura della ricompensa delle taglie

La struttura qui delineata è quella di fornire un livello di trasparenza per i pagamenti delle taglie. 

A causa della complessità del codice e delle infrastrutture coinvolte, ci saranno occasioni in cui i pagamenti potrebbero non rientrare nelle bande sopra elencate. 

La qualità della presentazione sarà un fattore nel livello del compenso considerato.

Si prega di includere quanto segue nella presentazione:

  • descrizione del problema
  • Descrizione del potenziale impatto sulla sicurezza del problema
  • La risorsa interessata. ad es. URL, snippet di codice GitHub, tipo di transazione ecc
  • Qualsiasi altra informazione pertinente

NOTA: Si prega di non rivelare eventuali problemi riscontrati a nessuno, in nessuna forma, al di fuori del team principale. Questo darà al progetto un tempo appropriato per rispondere. La divulgazione a terze parti può squalificare l'idoneità al bug bounty.

Le indagini e le segnalazioni responsabili includono, a titolo esemplificativo, quanto segue:

  • Non violare la privacy di altri utenti, distruggere dati, ecc.
  • Non frodare o danneggiare la rete del protocollo Haven o i suoi utenti durante la tua ricerca; dovresti fare uno sforzo in buona fede per non interrompere o degradare i nostri servizi.
  • Non prendere di mira le misure di sicurezza della rete o tentare di utilizzare ingegneria sociale, spam, attacchi DDoS (Distributed Denial of Service), ecc.
  • Il problema dovrebbe essere segnalato solo ai membri del team principale di Haven e non a nessun altro.
  • Dacci un ragionevole lasso di tempo per correggere il bug prima di rivelarlo a chiunque altro e dacci un adeguato avvertimento scritto prima di rivelarlo a chiunque altro.
  • In generale, si prega di indagare e segnalare i bug in modo tale da fare uno sforzo ragionevole e in buona fede per non essere distruttivi o dannosi per il protocollo o i suoi utenti, altrimenti le tue azioni potrebbero essere interpretate come un attacco piuttosto che uno sforzo per essere utile .

I pagamenti delle taglie saranno amministrati dal team del protocollo Haven e saranno in xUSD. Ciò consente la certezza del valore per coloro che segnalano/risolvono i problemi e avvantaggia la tesoreria del progetto rendendo il budget e la contabilità un processo più semplice.

In caso di controversie con pagamento di indennità, il team di risposta determinerà il livello (fascia) di gravità.

Bande di pagamento delle taglie

Due to out project lacking in funds, it is not currently possible to pay bug bounties.
If you are willing to contribute to the project, we welcome it. Thank you.

Gruppo musicalePagamenti più bassiPagamenti superiori
1$0$0
2$0$0
3$0$0
4$0$0

Tieni presente che gli sviluppatori/collaboratori principali prenderanno la decisione in merito all'ammissibilità della richiesta di taglia. Questo non può essere contestato ed è definitivo. 

Questa è la prima iterazione del programma bug bounty Haven e come tale sarà rivista regolarmente per garantire che rimanga adatta allo scopo.

it_ITItaliano