2 postagens marcado com "segurança"

Manter um serviço online seguro e performático nunca é uma tarefa única. Requer esforço não apenas para desenvolver novos recursos, mas também para renovar funcionalidades existentes.

Software desatualizado coloca nossos clientes em risco de vulnerabilidades de segurança. Como reduzimos esse risco? Por um lado, trabalhamos proativamente com pesquisadores de segurança para encontrar e resolver problemas inesperados. Por outro lado, mesclamos periodicamente a versão mais recente do software upstream.

Hoje, temos o prazer de compartilhar algumas melhorias que fizemos para aprimorar o Beancount.io.

1. Atualizamos o servidor e aceleramos o serviço em até 30%. A disponibilidade do serviço também foi significativamente melhorada.
2. Atualizamos o software de código aberto Fava, licenciado pelo MIT, para a versão 1.17. Ele corrigiu vários bugs e adicionou muitos novos recursos.

Animado? Experimente agora em https://beancount.io/ledger/

Tem perguntas? Estaremos lá para você em https://t.me/beancount :)

Beancount.io tem o prazer de anunciar o novíssimo programa de recompensas para desenvolvedores em nossa comunidade! Um programa de Recompensa por Bugs de Segurança (Security Bug Bounty) é uma oferta aberta a indivíduos externos para receberem compensação por relatar bugs em beancount.io e no Beancount mobile de código aberto relacionados à segurança da funcionalidade principal.

Nenhuma tecnologia é perfeita, e acreditamos que trabalhar com desenvolvedores, engenheiros e tecnólogos em todo o mundo é crucial para identificar fraquezas em nosso projeto durante o desenvolvimento. Se você acredita ter encontrado um problema de segurança em nosso produto ou serviço, nós o encorajamos a nos notificar. Teremos prazer em trabalhar com você para resolver o problema prontamente.

Período da Campanha​

2020-10-15 17:00 PST a 2020-11-30 17:00 PST

Escopo​

Os seguintes componentes do Beancount estão incluídos na 1ª Etapa da Campanha de Recompensa por Bugs:

1. beancount.io/ledger : Seu gerenciador de finanças pessoais.
2. Beancount mobile de código aberto

Passos para participar e relatar bugs​

• Se NÃO estiver relacionado a informações de identificação pessoal (PII) e dados exatos do livro-razão (ledger). Forneça informações sobre os bugs através da solicitação de ISSUE no GitHub em https://github.com/puncsky/beancount-mobile/issues/:
  • Ativo. Escolha o repositório ao qual o bug está relacionado e crie uma “Nova Issue” nele.
  • Gravidade. Escolha o nível de vulnerabilidade de acordo com “Vulnerabilidades Qualificadas”.
  • Resumo — Adicione um resumo do bug.
  • Descrição — Quaisquer detalhes adicionais sobre este bug.
  • Passos — Passos para reproduzir.
  • Material de Apoio/Referências — Código-fonte para replicar, liste qualquer material adicional (por exemplo, capturas de tela, logs, etc.).
  • Impacto — Qual o impacto do bug encontrado, o que um atacante poderia conseguir?
  • Seu nome, país e ID do Telegram para contato.
• Se estiver relacionado a PII e dados exatos do livro-razão (ledger), entre em contato com puncsky no Telegram e envie as informações acima.
• A equipe Beancount.io revisará todos os bugs e fornecerá feedback o mais rápido possível através dos comentários na página com um bug específico ou via Telegram pessoalmente, se estiver relacionado a PII e dados exatos do livro-razão (ledger).
• A distribuição das recompensas será realizada em Presente Físico, Cartão Presente ou equivalente em USDT após o término da campanha, por volta de 01 de dezembro de 2020 PST.

Vulnerabilidades qualificadas​

Para se qualificar para a recompensa, o bug de segurança deve ser original e não relatado anteriormente.

Apenas os seguintes problemas de design ou implementação que afetam substancialmente a estabilidade ou segurança do Beancount.io são qualificados para a recompensa. Exemplos comuns incluem:

• Vazamento de PII e dados do livro-razão (ledger) enquanto a máquina host não está comprometida.
• Uma ação especial que faz com que todo o site ou aplicativo móvel seja suspenso ou trave.
• Um usuário impacta outro usuário sem concessão de acesso prévia.

Para cenários que não se enquadram em uma das categorias acima, ainda agradecemos os relatórios que nos ajudam a proteger nossa infraestrutura e nossos usuários e recompensamos esses relatórios em uma base caso a caso.

Vulnerabilidades Fora do Escopo​

Ao relatar vulnerabilidades, considere o cenário de ataque, a explorabilidade e o impacto de segurança do bug. Os seguintes problemas são considerados fora do escopo, e NÃO aceitaremos nenhum dos seguintes tipos de ataques:

• Ataques de negação de serviço (DoS)
• Ataques de phishing
• Ataques de engenharia social
• Download de arquivo refletido
• Divulgação de versão de software
• Problemas que exigem acesso físico direto
• Problemas que exigem interação do usuário extremamente improvável
• Falhas que afetam navegadores e plugins desatualizados
• Painéis de login publicamente acessíveis
• Injeção de CSV
• Enumeração de e-mail / oráculos de conta
• Fraquezas de CSP
• Falsificação de e-mail (Email Spoofing)
• Técnicas que permitem visualizar fotos de perfil de usuário (estas são consideradas públicas)

Recompensas​

O prêmio para o bug mais crítico que expõe PII e dados do livro-razão (ledger) é um AirPods Pro (nos EUA) ou equivalente em USDT.

O prêmio para um bug de segurança é um Cartão Presente Amazon de $20 ou equivalente em USDT.

Somos uma equipe pequena com um orçamento limitado e pudemos distribuir apenas

• 1 AirPods Pro para todos.
• 10 recompensas de $20 por mês, por até 3 meses. Se o número de casos reais exceder esse valor em um mês, enviaremos a recompensa restante no mês seguinte. ($600 no total para esta campanha)

Tem perguntas?​

Pergunte-nos em https://t.me/beancount