Bug Bounty and reporting of issues(バグバウンディと問題の報告)

Quicksilver
2023.08.17

はじめに

今回の内容は以下の URL のページを参照して記載をしております。

「Bug Bounty and reporting of issues」
https://docs.quicksilver.zone/bug-bounty-and-reporting-of-issues

【 翻訳 】

Quicksilver は、コミュニティの安全性を向上させるためのセキュリティ研究者の努力の重要性と価値を認識しています。
私たちは、バグ報奨金プログラムを通じて、セキュリティ脆弱性の責任ある開示に報います。

バグ報奨金プログラムは、Quicksilver に関連するすべてのコードとサービスを対象としています。
バグ報奨金プログラムのポリシーに参加するには、研究者は以下のルールを守る必要があります。

  1. 脆弱性の詳細を他者と共有する前に、脆弱性を修正するための合理的な時間を Quicksilver に提供すること。
  2. セキュリティリサーチプロセスで取得したデータの機密性と完全性を保持すること。
  3. 本プログラムに参加する過程で、クイックシルバーを欺かないこと。
  4. Quicksilver からのバグバウンティプログラムの支払い以外で、脆弱性から利益を得たり、他者に利益を得させたりしないこと。
  5. 条件、要求、身代金要求のない脆弱性を報告すること。
  6. KYC または KYB プロセスを遵守し、これに合格すること。

ソーシャルエンジニアリング攻撃はプログラムのルール違反です。

バグの提出形式

バグ提出報告は安全な方法で行われなければなりません。
セキュリティリサーチャーとの通信には PGP 暗号を使用しています。

レポートを提出する前に、Ingenuityと安全に通信するためのPGPキーペアが必要です。

Ingenuityの公開鍵はGithubに、鍵の生成と使用方法はこちらにあります。
すべてのレポートは以下のテンプレートを使用してください:

【 提出用テンプレート 】

連絡先

・メールアドレス
・PGP公開鍵

問題の説明

ネットワークやエンドユーザへの影響、影響を受けるソフトウェアのバージョン、現在の動作と予想される動作、悪用の可能性、脆弱性の代替手段や回避策など(ただし必ずしもこれらに限定されない)、問題の詳細な説明を追加してください。
影響を受けるURL/領域

問題が存在するアプリケーションの影響を受けるURL
または領域

リスク評価

・リスク
・悪用の難易度
・CVSS3スコア
・認証
Quicksilver チームは、報告書の提出と提供された手順の再現後に、この点を再評価する予定です。

影響

・どのような攻撃者か?
・認証は必要か?
・他の誰に影響するか?

再現手順・PoC

攻撃者としてペイロードを実行するために必要なステップの明確なアウトライン。
・リクエスト
・レスポンス
・見せる・紹介する・議論する
・スクリーンショット
該当する場合は、脆弱性を再現するためのすべての前提条件
(例:デバッグに使用するソフトウェア、特別なノード設定など)のリストを含めてください。

◆ 影響を受けるユーザ層

・この問題が影響を受けるユーザを説明してください。
・すべてのユーザか、一部のユーザか。
・どのように発生するのか?

◆ 推奨される修正方法

・どのように問題を修正しますか?
・問題xを正常に修正するために必要な推奨される修正アクションは何ですか?

◆ KYC / KYB要件

Quicksilver では、レポートを提出し、一定額以上の報酬を希望するすべてのリサーチャーに対して、KYC / KYB の実施を義務付けています。
必要な情報(写真付き身分証明書、公共料金の請求書)は、第三者(Synaps)によって評価されます。
事業体である研究者は、追加情報(役員、所有者など)を提供する必要があります。
Synapsは、英語またはその翻訳証明書の提出を求める場合があります。
Quicksilver は、KYC/BYB 情報にアクセスすることはできません。

バグ報奨金プログラムの報酬

一定額以上の報酬を受け取るには、KYC または KYB プロセスに合格する必要があります。
報酬は Quicksilver チームによって直接処理され、米ドル建てとなります。
ただし、ペイアウトは QCK または USDC で行われます。
これはバグバウンティプログラムの報酬の最初の反復であり、将来的に進化する可能性があることにご注意ください。

対象範囲

Halborn Security と Orijtech によるセキュリティ監査レポートでマークされたすべての脆弱性は報奨金の対象外です。
クイックシルバーに接続されているチェーンに関連する脆弱性は、各チェーンのセキュリティチームに報告してください。

ペイアウトの範囲
ブロックチェーン(quicksilverd)

低レベル 最大500米ドル
ミディアムレベル:最大USD 2,500
高レベル:最大20,000米ドル
クリティカルレベル:最大50,000米ドル

アプリケーションとウェブサイト(quicksilver webapp、icq、xcclookup、authz-pusher)

低レベル 最大100米ドル
中レベル : 500米ドルまで
高レベル:1,000米ドルまで
クリティカル・レベル:2,500米ドルまで

その他のインフラとサービス

低レベル 200米ドルまで
中レベル:1,000米ドルまで


ご覧いただきましてありがとうございました。

本内容はできる限り、正しい内容となるようにしておりますが、DYOR でお願いいたします。

目次に戻る

スポンサーリンク

コメント

タイトルとURLをコピーしました