安全性

介绍

安全是我们价值的核心我们非常重视安全研究人员善意的输入,以帮助我们维护用户和比特币SV区块链的高标准安全和隐私,并且包括鼓励负责任的漏洞研究和披露。政策以查找和报告漏洞为背景阐述了我们对善意的定义,以及您对我们期望。

我们可能会随时修改本政策的条款或终止本政策。 我们不会追溯性地对这些政策条款进行任何更改。

期望

根据政策与我们合作时,您可以期望我们:

为您与本政策相关的漏洞研究提供安全港;
与您合作了解并验证您的报告,包括在提交后72小时内的初步回复;
努力及时修复已发现的漏洞;并且
如果您是第一个报告独特漏洞的人而您的报告触发代码或配置更改,我们将认可和奖励您对提高我们安全性的贡献。

安全港

根据政策进行漏洞研究时,我们认为此研究为:

计算机欺诈和滥用法案(CFAA》(/或类似的州法律)授权并且我们不会因意外善意违反本政策而发起或支持对您采取法律行动
于《数字千年版权法案(DMCA而且我们不会因为规避技术控制而向您提出索赔
免受我们条款和条件中那些会干扰安全研究进行的限制,并且我们会根据此政策在有限的基础上放弃这些限制规定
合法的、有益于互联网的整体安全,并善意地

您应一如既往遵守所有适用法律。

如果您在任何时候担心或不确定您的安全研究是否与本政策一致,请在继续进行之前通过我们的官方渠道提交报告

基本规则

为了鼓励漏洞研究并避免善意研究和恶意攻击之间的任何混淆,我们要求您

遵守规则包括遵循政策以及任何其他相关协议。如果本政策与任何其他相关协议条款之间存在任何不一致,则以本政策的条款为准
及时报告您发现的任何漏洞
避免侵犯他人隐私、扰乱我们的系统破坏数据和/或损害用户体验
仅使用官方渠道与我们讨论漏洞信息
根据本政策中披露条款的规定所有已发现漏洞的详细信息保密,直至修复为止
仅对范围内系统执行测试,并尊重范围的系统和活动
如果漏洞提供对数据的无意访问:将您访问的数据量限制为有效演示概念证所需的最低量如果您在测试过程中遇到任何用户数据,例如个人身份信息(PII)或专有信息,请立即停止测试并提交报告
您只应与您本人的测试帐户或帐户持有人明确许可的账户进行交互
不要参与敲诈勒索。

官方渠道

便于我们收到漏洞提交报告,我们使用以下官方报告渠道

电子邮件:[email protected]

如果您认为自己发现了漏洞,请在报告中包含以下信息,并尽可能详细地对其进行描述:

漏洞的位置和性质,
重现漏洞所需步骤的详细说明(屏幕截图、压缩屏幕视频录制和概念验证脚本都很有帮助),以及
您的姓名/用户个人链接。

请使用我们的PGP密钥加密您发送给我们的所有信息[email protected])。此密钥可从公共PGP密钥服务器(如MIT PGP公钥服务器)获得PGP密钥具有ID 7A20AB62和指纹E8EB 970A 1C60 7DF0 822E 1388 F969 76FD 7A20 AB62。为方便起见,PGP密钥已完整列在本页底部。

奖励

按照我们的政策和基本规则,负责任的披露漏洞可能会获得赏金”或奖励,而前提是比特币SV安全团队是漏洞披露的最初接收之一。

最终金额由奖励小组自行决定,但下面的通用指导原则提供了示例,建议根据已发现漏洞的严重程度可支付的最高奖励。请注意,只考虑经济上可行的漏洞,例如,对网络的51%攻击将被视为在经济上不可行。

严重程度

极高

详细描述

对整个网络造成灾难性影响;网络可用性受损;引发区块链分裂的风险;资金损失

影响单个节点;单个节点崩溃;可能造成资金损失

不易利用;中等影响;没有资金损失

不易利用;影响

奖励*

美金100000

美金50000

美金10000

美金1000

 *所有奖励将从CoinGeek Mining的开源预算中以比特币SVBSV支付

范围

我们的漏洞奖赏政策侧重于比特币SV的代码库,涵盖端到端:从协议的健全性(如区块链共识模型、有线和p2p协议、工作证明等协议的实现和合规性,到网络安全和共识完整性。传统的客户端安全性以及加密原语的安全性也是该政策的一部分。

范围仅限位于https://github.com/bitcoin-sv/bitcoin-sv存储库的指定分支中包含的代码范围内和范围外的分支由分支名称指定

 

范围内的分支:

主分支
最近更新的分支,前缀为:rc-*
分支前缀为:review-*

 

范围外的分支:

分支前缀为dev-*exp-*research-*
未在范围内指定的所有其他分支

范围外

物理测试的发现,如办公室访问(例如开门尾随
主要来自社会工程的发现(例如网络钓鱼钓鱼诈骗)
未在“范围”部分列出的应用程序或系统的发现
被报告的发现
在此或任何相关网站上的用户界面漏洞和拼写错误
网络级拒绝服务(DoS/DDoS)漏洞

请注意,我们不希望在任何披露过程中收到任何敏感数据,例如个人身份信息(PII)或与私钥/公钥相关的任何数据。

如果有任何疑问,请发送邮件到[email protected]

比特币SV安全团队PGP密钥

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: SKS 1.1.6

mQINBFukzJcBEAC6P81ADa4ftaBqS4ABbFCcxCaRju/+z1nF7AbTBmvVZme8vKFj8NgKnKgG
3YxcoiuByAaR9yBMQ3ALTrNbYowjHgbm37Z2MQTfMXPXtSkvMJU2aqp3F+R3QPE6DYfPiTV3
bRvvTCWI2XzKCaJzVjEGqN/hq2BN12zrh6Y9cdCTQ0gwLe07gGdcQn4EyEu4NhRa1umJm/bv
XUCP0dHzFX/43DACgnAZgDSbeyPaRio1XG4BRLgIB2RQ4aL+bqEhCwllY8DRiqMjbPn9iHH3
3EfmimwGzYWyP6gjKEO9wkoFmURosCub/XLbRwgSxy6Cw2UGD9vIY9EGis5ehwaoJf8YZPwY
5umue0zlBK3kN+HXuVPAB2+ug6ZZXIuaxhMG6JmWTozuJAQ8sWGdyQlC3u8kMZ9vPCI6cyTo
UFD7ss8dC50ZGs6XglMoaZDjTOpuG4mhXPfoUhLuZPGhtHVYRYik4P/hslBDIDbNMIywkkf3
JOtxmDAFQivVfV8055/TOIYdGweOKhyqlp2kRN++6skexOSKyZ9+CM+3d+BW4wSmUfrleOUw
n4Ys4qFkBxUfbIa7Y5zhyeAo/qngmMjqomgFI5yQ+jzYHBSeEUqnp1ACY6I6HiqpQYQmpCHn
nQk2MypW456db15Xd0xkd33+1nkioBPMFGBQaj73RwhXH3d0vQARAQABtDBCaXRjb2luIFNW
IFNlY3VyaXR5IFRlYW0gPHNlY3VyaXR5QGJpdGNvaW5zdi5pbz6JAlQEEwEIAD4WIQTo65cK
HGB98IIuE4j5aXb9eiCrYgUCW6TMlwIbAwUJAme9KQULCQgHAgYVCgkICwIEFgIDAQIeAQIX
gAAKCRD5aXb9eiCrYqxaD/wN/r0Fwv8Xhkc+gMmXN/SjKl4a8Cp32e9737bzLlMHaXyNVw2V
Ij8/MM45MnIU/BaKi3Em2Ber6p5XaUYy81CmjEgnRfsQ9AqbVHqA6sgjI1iF/LWm86O6ZLF2
6oJENk0s56JDptYuHGxJRGL0Q6z2iY8wOIDx7kwvMitUJqm5tsYX+Ekeci6lfwilbpyUWdqQ
iUh8Gv4P6ckAt3qUwqepFkgPbMpoz0n1WzRzbg+d/lDcDI6BgDjUa4qb93m4epGKprc/ESkw
/zB1LCZw2RBBsTJmnkpe5Q+aldUFUuWHcZ79lm+s30MBnqQ9d8q2wblYUH3crJBgYR1c7v2s
vqHQlB2CnCSq9nwmsadPMYKkBUN8GWSLqw4t8c/0bXcw0Kkl2iwOAIN4KRfO6sM57BfL0pTq
sk+onfnimYNUdFAm0Awxspupq8hZWy2L1K4meW4nB1cvJjBHUi9QGEzfk2gzkAn4VMYhD8UI
B5yKcKK58dp7IVQgRc8djskxTwl1jhe8/Dez/II39yvKPK+hoo5hpq3KxQcJoGktxog4QM9z
EOpJRCfnjJD2ijOCBUiejy3LIwqzH+cAMly0LS0W93UD2pLi1R494kkZ/VnMTZVc4cSz0A2w
UkqWcbGQ/oLkq5Q1ilPS4FCSsJ60/UXSoWGV3ncZ+XnOX43M7D9z0v6SDbkCDQRbpMyXARAA
y9LNLHRWEq4ThTtbNmuItKTMLTYFdDFkKHiexxCyF0jQuMv4bxfx3cCZJ+6ty7DTeSw9oG2K
nYN/d6vyyJ1r0sPAyWODDb6ekqlwsCSiM2DEVy3tQITisWXMg4D0/ys+Q+1bi0MTYve4I6XL
8mKnomgzaeFSBAvYfGQ2Oz5GDZfj8/yNWmInjoSWRZxOpTYgOf6UedJ56ew2aejno+Y4h4Cf
wnBdAWn3FIeFho+MllcSQbMbDBaDX3MGNeE6ZkXV7WD7xLcD39Xn2nS3IVQx9LcEkbRIWzFY
f8Arbi33gtT35jOBpSW3a/xFOoxVt+t7YWHuAYXYL67bh+OpMAr/XowQuV5+ICfXW53CEg7i
VsYEikms7lkEGz89tyCDdYCr8lV3/Ka2cTSirh22Y5rravtYMubZUoCMYHgmrEiA8vQz3wLQ
pG3wnBs4E3PtFk4QIK6VjLdnFWAHY8ULM0XRY98hrZ5LZ8WNCv+0JIbKSS8afasM/HOXFFUw
69HsGbMJo0YmVe8y7sSyLRFwVraafy5NQpjl9Vp+zoiBtt5dD4DPjbqlZqfTpX1EHmMt07vI
1CYUJcJ7PHg8VabK3+4V1Q4HMWbbpAPYRZXXeej7gOcTJDEvCSOzKkreU/DUG+lEJedN+tOD
7PyKGbV/VSjzLGG1U77ZXJqbPdrInPUJzPcAEQEAAYkCPAQYAQgAJhYhBOjrlwocYH3wgi4T
iPlpdv16IKtiBQJbpMyXAhsMBQkCZ70pAAoJEPlpdv16IKtiO+oP/35OA/hZmHZQEqWp5Lty
bV3tzz//zhDfEK4wK52POmnVO/hynsygoH2Ws7GWTrKLkVvevmc0S4+pC8cpahVrI9mpzEJw
9zoFuJjKSmyyDwrxaV/NskU7QI68PKEvNQfqAinMy9pB9q32+B9So87vKdcINaYmInU3B7Ef
YtzE9MZKG18lma4bXgdNFrVkRFJoJTYVd6T86dK7NQnIgA67q1Dp5A+zO/fi8qP6chmpfrcU
ps8bMtL8YiCTzYAaXX+S8v9tVza9U6JxV2902/drkacnVsK1YWzJQgm9vHWjSl7T0x06qqKS
8oSEICufSxJ2PcrKNPsUL4OXgIRJaa/5JpdvK1Dckr9rukZgsctxu3vJW/XhbLYWVs79UrkM
aVjF19Mm3/m3XINjSUL4rqw2CFEydvIN/a/o2OTh++Zcr4a17/u/teBllHAtfiaBayC8PrCf
LHm8AmTq65RQ0S9V8rxVQhpEUumXh+jzbeXPjVs7Y/d0EaKAU6MbR4EWu4JWBm799sLSzXFO
c7ipgGLAx1qCZYmxsFzzB7VsAAA85Qcow9tMHi7JrTLnlU5bb8FA18mmG7T8F9M69Iknwb73
rf8atunC+GiS2/6RRwtTbVfO2LVPxLlqQovSsjCoWgifHH4rg1OCs1T0v7ed0V4eU8p5fzla
7auhB+wyIkulnJbt
=zYLL
-----END PGP PUBLIC KEY BLOCK-----