Політика безпеки

Як відповідально повідомити про вразливості в TALER Blockchain — область охоплення, канали повідомлення, очікувані терміни реакції та принципи безпечного дослідження.

TALER Blockchain серйозно ставиться до безпеки свого програмного забезпечення, мережі та користувачів. На цій сторінці описано, як повідомити про вразливість і чого очікувати після.

Як повідомити

Переважний канал — електронна пошта на info@taler.tech. Будь ласка, включіть:

  • зрозумілий опис проблеми та її впливу;
  • кроки для відтворення, в ідеалі з мінімальним proof-of-concept;
  • зачеплений компонент, версію або хеш комміта;
  • ваше ім’я або нік, якщо ви хочете бути згаданим.

Якщо ви віддаєте перевагу приватному першому контакту через Telegram, напишіть модератору в нашому каналі і попросіть перейти на пошту — не публікуйте деталі вразливості в публічних каналах.

В області охоплення

  • Еталонна реалізація вузла (abkvme/taler)
  • Блок-експлорер (abkvme/taler-explorer)
  • Цей сайт (taler.tech) та будь-які сервіси, розміщені безпосередньо на ньому (наприклад, explorer.taler.tech)
  • Проблеми криптографії та консенсусу, що впливають на mainnet (PoW/PoS, Lyra2Z, Dark Gravity Wave)
  • Код шифрування гаманців, деривації ключів та обробки seed-фраз

Поза областю охоплення

  • Сторонні гаманці, біржі, майнінг-пули та експлорери, не керовані проєктом, навіть якщо вони згадані на цьому сайті
  • Соціальна інженерія або фішинг проти окремих учасників спільноти
  • Відмова в обслуговуванні, що вимагає непропорційного трафіку
  • Звіти, засновані виключно на виводі автоматичних сканерів без доведеного впливу на безпеку
  • Проблеми, вже розкриті публічно або відстежувані в публічному трекері GitHub

Чого очікувати

TALER — це відкритий, волонтерський проєкт. Немає SLA, немає гарантованого часу відповіді та немає зобов’язань для будь-кого реагувати на звіт — ні на цій пошті, ні в Telegram, ні в GitHub Discussions, ні будь-де ще.

Що може статися, якщо учасник спільноти візьметься за ваш звіт:

  • Він зв’яжеться з вами з уточнюючими питаннями.
  • Він відтворить проблему, запропонує виправлення чи обхідний шлях і тихо узгодить з вами терміни до будь-якої публічної публікації.
  • Виправлення потрапляє в реліз; інформація описується в примітках до випуску та в репозиторії проєкту на GitHub.

Якщо ніхто не візьметься за звіт, нічого не станеться. Усе одно повідомляйте — публічна видимість самого звіту (без деталей експлойта) часто мотивує когось взятися за нього. Після розумного очікування ви можете розкрити інформацію публічно, бажано без деталей експлойта, поки користувачі не встигнуть оновитися.

Безпечне дослідження

Ми не будемо переслідувати в судовому порядку дослідників, які:

  • діють добросовісно та уникають порушення приватності, знищення даних та порушення сервісу;
  • роблять розумні спроби зв’язатися з нами до публічного розкриття;
  • дають нам розумний час на виправлення проблеми перед публічним описом;
  • дотримуються чинного законодавства.

У нас немає платної програми bug bounty, і ми не можемо обіцяти CVE-кредит, запис у Hall of Fame чи іншу форму визнання — це повністю залежить від того, чи візьметься хтось зі спільноти за звіт і чи захоче це зробити.

Подяки

Якщо учасник спільноти відреагував на звіт і репортер хоче бути названим, він може бути перелічений нижче. Гарантії включення немає.

Публічних звітів поки немає.

info@taler.tech security.txt