Палітыка бяспекі

Як адказна паведаміць пра ўразлівасці ў TALER Blockchain — сфера ахопу, каналы паведамлення, чаканыя тэрміны рэакцыі і прынцыпы бяспечнага расследавання.

TALER Blockchain сур’ёзна ставіцца да бяспекі свайго праграмнага забеспячэння, сеткі і карыстальнікаў. На гэтай старонцы апісана, як паведаміць пра ўразлівасць і чаго чакаць пасля.

Як паведаміць

Пераважны канал — электронная пошта на info@taler.tech. Калі ласка, далучыце:

  • зразумелае апісанне праблемы і яе ўплыву;
  • крокі для ўзнаўлення, у ідэале з мінімальным proof-of-concept;
  • закрануты кампанент, версію або хэш коміта;
  • ваша імя або нік, калі вы хочаце быць згаданым.

Калі вы аддаеце перавагу прыватнаму першаму кантакту праз Telegram, напішыце мадэратару ў нашым канале і папрасіце перайсці на пошту — не публікуйце дэталі ўразлівасці ў публічных каналах.

У сферы ахопу

  • Эталонная рэалізацыя вузла (abkvme/taler)
  • Блок-эксплорер (abkvme/taler-explorer)
  • Гэты сайт (taler.tech) і любыя сервісы, размешчаныя непасрэдна на ім (напрыклад, explorer.taler.tech)
  • Праблемы крыптаграфіі і кансэнсусу, якія ўплываюць на mainnet (PoW/PoS, Lyra2Z, Dark Gravity Wave)
  • Код шыфравання гаманцоў, вытворнасці ключоў і апрацоўкі seed-фраз

Па-за сферай ахопу

  • Іншыя гаманцы, біржы, майнінг-пулы і эксплорэры, якія не кіруюцца праектам, нават калі згаданы на гэтым сайце
  • Сацыяльная інжынерыя або фішынг супраць асобных удзельнікаў супольнасці
  • Адмова ў абслугоўванні, якая патрабуе непрапарцыйнага трафіку
  • Справаздачы, заснаваныя выключна на вывадзе аўтаматычных сканараў без даказанага ўплыву на бяспеку
  • Праблемы, ужо раскрытыя публічна або адсочваемыя ў публічным трэкеры GitHub

Чаго чакаць

TALER — гэта адкрыты, валанцёрскі праект. Няма SLA, няма гарантаванага часу адказу і няма абавязку камусьці рэагаваць на справаздачу — ні на гэтай пошце, ні ў Telegram, ні ў GitHub Discussions, ні дзе-небудзь яшчэ.

Што можа адбыцца, калі ўдзельнік супольнасці зоймецца вашай справаздачай:

  • Ён звяжацца з вамі з удакладняючымі пытаннямі.
  • Ён узновіць праблему, прапануе выпраўленне або абыход і ціха ўзгадніць з вамі тэрміны перад публічнай публікацыяй.
  • Выпраўленне трапляе ў рэліз; інфармацыя апісваецца ў нататках да выпуску і ў рэпазіторыі праекта на GitHub.

Калі ніхто не возьмецца за справаздачу, нічога не адбудзецца. Усё роўна паведамляйце — публічная бачнасць самой справаздачы (без дэталяў эксплоіта) часта матывуе кагосьці ўзяцца за яе. Праз разумны час вы можаце раскрыць інфармацыю публічна, пажадана без дэталяў эксплоіта, пакуль карыстальнікі не паспеюць абнавіцца.

Бяспечнае расследаванне

Мы не будзем праследаваць у судовым парадку даследчыкаў, якія:

  • дзейнічаюць добрасумленна і пазбягаюць парушэння прыватнасці, знішчэння даных і парушэння сервісу;
  • робяць разумную спробу звязацца з намі да публічнага раскрыцця;
  • даюць нам разумны час на выпраўленне праблемы перад публічным апісаннем;
  • выконваюць дзеючае заканадаўства.

У нас няма платнай праграмы bug bounty, і мы не можам абяцаць CVE-крэдыт, запіс у Hall of Fame ці іншую форму прызнання — гэта цалкам залежыць ад таго, ці зоймецца хто-небудзь са супольнасці справаздачай і ці захоча гэта зрабіць.

Падзякі

Калі ўдзельнік супольнасці адрэагаваў на справаздачу і рэпарцёр жадае быць названым, ён можа быць пералічаны ніжэй. Гарантыі ўключэння няма.

Публічных справаздач пакуль няма.

info@taler.tech security.txt