2 publicacions etiquetades amb "seguretat"

Mantenir un servei en línia segur i de bon rendiment mai és una cosa puntual. Requereix esforç no només per desenvolupar noves característiques, sinó també per renovar les funcionalitats existents.

El programari obsolet posa els nostres clients en risc de vulnerabilitats de seguretat. Com reduïm aquest risc? D'una banda, treballem proactivament amb investigadors de seguretat per trobar i resoldre problemes inesperats. D'altra banda, fusionem periòdicament la darrera versió del programari original.

Avui ens complau compartir algunes millores que hem realitzat per millorar Beancount.io.

1. Hem actualitzat el servidor i hem accelerat el servei fins a un 30%. La disponibilitat del servei també ha millorat considerablement.
2. Hem actualitzat el programari de codi obert amb llicència MIT Fava a la versió 1.17. Ha corregit diversos errors i ha afegit moltes característiques noves.

Et sents emocionat? Prova-ho ara a https://beancount.io/ledger/

Tens preguntes? Estarem allà per a tu a https://t.me/beancount :)

Beancount.io es complau a anunciar el nou programa de recompenses per a desenvolupadors de la nostra comunitat! Un programa de recompenses per errors de seguretat (Security Bug Bounty) és una oferta oberta a individus externs per rebre compensació per informar d'errors de beancount.io i de Beancount mobile de codi obert relacionats amb la seguretat de la funcionalitat principal.

Cap tecnologia és perfecta, i creiem que treballar amb desenvolupadors, enginyers i tecnòlegs de tot el món és crucial per identificar les debilitats del nostre projecte mentre el construïm. Si creieu que heu trobat un problema de seguretat en el nostre producte o servei, us animem a notificar-nos-ho. Estem encantats de col·laborar amb vosaltres per resoldre el problema ràpidament.

Període de la Campanya​

2020-10-15 17:00 PST to 2020-11-30 17:00 PST

Abast​

Els següents components de Beancount estan inclosos en la 1a Fase de la Campanya de Recompenses per Errors:

1. beancount.io/ledger : El vostre gestor de finances personals.
2. Beancount mobile de codi obert

Passos per participar i informar d'errors​

• Si NO està relacionat amb informació d'identificació personal (PII) i dades exactes del llibre major. Proporcioneu informació sobre els errors mitjançant la sol·licitud d'INCIDÈNCIA de GitHub a https://github.com/puncsky/beancount-mobile/issues/:
  • Actiu. Trieu el repositori al qual està relacionat l'error i creeu una "Nova incidència" (New Issue) en ell.
  • Gravetat. Trieu el nivell de vulnerabilitat segons les "Vulnerabilitats qualificades".
  • Resum — Afegiu un resum de l'error
  • Descripció — Qualsevol detall addicional sobre aquest error
  • Passos — Passos per reproduir
  • Material de suport/Referències — Codi font per replicar, llisteu qualsevol material addicional (p. ex., captures de pantalla, registres, etc.)
  • Impacte — Quin impacte té l'error trobat, què podria aconseguir un atacant?
  • El vostre nom, país i identificador de Telegram per contactar.
• Si està relacionat amb PII i dades exactes del llibre major, contacteu amb puncsky a Telegram i envieu la informació anterior.
• L'equip de Beancount.io revisarà tots els errors i us proporcionarà retroalimentació el més ràpidament possible mitjançant els comentaris a la pàgina amb un error específic o via Telegram en persona si està relacionat amb PII i dades exactes del llibre major.
• La distribució de les recompenses es realitzarà en Regal Físic, Targeta Regal o equivalent en USDT un cop finalitzi la campanya, al voltant de l'1 de desembre de 2020 PST.

Vulnerabilitats qualificades​

Per qualificar per a la recompensa, l'error de seguretat ha de ser original i no haver estat informat prèviament.

Només els següents problemes de disseny o implementació que afectin substancialment l'estabilitat o la seguretat de Beancount.io es qualifiquen per a la recompensa. Exemples comuns inclouen:

• Fuga de PII i dades del llibre major mentre la màquina host no està compromesa
• Una acció especial que provoca la suspensió o el bloqueig de tot el lloc web o l'aplicació mòbil
• Un usuari impacta un altre usuari sense una concessió d'accés prèvia

Per a escenaris que no s'inclouen en una de les categories anteriors, seguim agraint els informes que ens ajuden a protegir la nostra infraestructura i els nostres usuaris, i recompensem aquests informes cas per cas.

Vulnerabilitats fora d'abast​

En informar de vulnerabilitats, tingueu en compte l'escenari d'atac, l'explotabilitat i l'impacte de seguretat de l'error. Els següents problemes es consideren fora d'abast, i NO acceptarem cap dels següents tipus d'atacs:

• Atacs de denegació de servei
• Atacs de suplantació d'identitat (phishing)
• Atacs d'enginyeria social
• Descàrrega de fitxers reflectida
• Divulgació de la versió del programari
• Problemes que requereixen accés físic directe
• Problemes que requereixen una interacció de l'usuari extremadament improbable
• Falles que afecten navegadors i connectors obsolets
• Panells d'inici de sessió accessibles públicament
• Injecció CSV
• Enumeració de correus electrònics / oracles de comptes
• Debilitats de CSP
• Suplantació de correu electrònic
• Tècniques que permeten veure fotos de perfil d'usuari (aquestes es consideren públiques)

Recompenses​

El premi per a l'error més crític que exposi PII i dades del llibre major és uns AirPods Pro (als EUA) o l'equivalent en USDT.

El premi per a un error de seguretat és una Targeta Regal d'Amazon de 20 $ o l'equivalent en USDT.

Som un equip petit amb un pressupost limitat i només podem distribuir:

• 1 AirPods Pro per a tots.
• 10 recompenses de 20 $ al mes, fins a 3 mesos. Si el cas real supera aquesta quantitat en un mes, enviarem la recompensa restant el mes següent. (600 $ en total per a aquesta campanya)

Teniu preguntes?​

Pregunteu-nos a https://t.me/beancount