Политика безопасности

Как ответственно сообщить об уязвимостях в TALER Blockchain — область охвата, каналы сообщения, ожидаемые сроки реакции и принципы безопасного исследования.

TALER Blockchain серьёзно относится к безопасности своего программного обеспечения, сети и пользователей. На этой странице описано, как сообщить об уязвимости и чего ожидать после.

Как сообщить

Предпочтительный канал — электронная почта на info@taler.tech. Пожалуйста, включите:

  • понятное описание проблемы и её влияния;
  • шаги для воспроизведения, в идеале с минимальным proof-of-concept;
  • затронутый компонент, версию или хеш коммита;
  • ваше имя или ник, если вы хотите быть упомянутым.

Если вы предпочитаете приватный первый контакт через Telegram, напишите модератору в нашем канале и попросите перейти на почту — не публикуйте детали уязвимости в публичных каналах.

В области охвата

  • Эталонная реализация узла (abkvme/taler)
  • Блок-эксплорер (abkvme/taler-explorer)
  • Этот сайт (taler.tech) и любые сервисы, размещённые непосредственно на нём (например, explorer.taler.tech)
  • Проблемы криптографии и консенсуса, влияющие на mainnet (PoW/PoS, Lyra2Z, Dark Gravity Wave)
  • Код шифрования кошельков, деривации ключей и обработки seed-фраз

Вне области охвата

  • Сторонние кошельки, биржи, майнинг-пулы и эксплореры, не управляемые проектом, даже если они упомянуты на этом сайте
  • Социальная инженерия или фишинг против отдельных участников сообщества
  • Отказ в обслуживании, требующий непропорционального трафика
  • Отчёты, основанные исключительно на выводе автоматических сканеров без доказанного влияния на безопасность
  • Проблемы, уже раскрытые публично или отслеживаемые в публичном трекере GitHub

Чего ожидать

TALER — открытый, добровольческий проект. Нет SLA, нет гарантированного времени ответа и нет обязательств для кого-либо реагировать на отчёт — ни на этой почте, ни в Telegram, ни в GitHub Discussions, ни где-либо ещё.

Что может произойти, если участник сообщества возьмётся за ваш отчёт:

  • Он свяжется с вами с уточняющими вопросами.
  • Он воспроизведёт проблему, предложит исправление или обходной путь и тихо согласует с вами сроки до любой публичной публикации.
  • Исправление попадает в релиз; информация описывается в примечаниях к выпуску и в репозитории проекта на GitHub.

Если никто не возьмётся за отчёт, ничего не произойдёт. Всё равно сообщайте — публичная видимость самого отчёта (без деталей эксплойта) часто мотивирует кого-то взяться за него. По истечении разумного срока вы можете раскрыть информацию публично, желательно без деталей эксплойта, пока пользователи не успеют обновиться.

Безопасное исследование

Мы не будем преследовать в судебном порядке исследователей, которые:

  • действуют добросовестно и избегают нарушения приватности, уничтожения данных и нарушения сервиса;
  • предпринимают разумные попытки связаться с нами до публичного раскрытия;
  • дают нам разумное время на исправление проблемы перед публичным описанием;
  • соблюдают действующее законодательство.

У нас нет платной программы bug bounty, и мы не можем обещать CVE-кредит, запись в Hall of Fame или иную форму признания — это полностью зависит от того, возьмётся ли кто-то из сообщества за отчёт и захочет ли это сделать.

Благодарности

Если участник сообщества отреагировал на отчёт и репортёр хочет быть назван, он может быть перечислен ниже. Гарантии включения нет.

Публичных отчётов пока нет.

info@taler.tech security.txt