Bug 賞金項目
最近更新时间: 2021年4月2日
簡介
Keystone 的 Bug 賞金項目旨在鼓勵大家對 Keystone 的硬件和軟件的安全性進行研究,並獎勵那些為 Keystone 用戶的加密資產安全作出寶貴貢獻的用户们。
獎賞要求
要獲得此項目的獎勵,提交的安全漏洞必須滿足以下條件:
- 安全漏洞必須是原始的漏洞並且之前從未上傳過
- 安全漏洞必須是 Keystone 代碼的一部分,而不是第三方代碼
- 不得是 Keystone 員工、承包商或與 Keystone 公司或其任何子公司有業務往來
- 不得利用安全漏洞謀取私利 在發布任何安全問題之前,您必須給我們適當的時間來解決這些問題。
Keystone 保留決定此安全漏洞是否為真實存在且嚴重到足以獲得賞金的權利。
賞金項目範圍內的安全漏洞舉例:
- 跳過輸入密碼環節直接進入設備或類似的場景
- 在安全芯片上隨意執行代碼
- 在 MCU 上隨意執行代碼(無需物理訪問)
- 無需用戶確認直接簽署交易或誤導用戶簽署交易
- 私鑰泄露
- 遠程執行代碼
不在賞金項目範圍的安全漏洞舉例:
- 第三方應用程序、站點或服務器中的安全漏洞
- 沒有證據支持的安全漏洞,例如工作證明概念、重復的安全漏洞、調試輸出或工具輸出
- Keystone 官網上的安全漏洞(除非它們能導致我們的硬件或軟件產品出現漏洞)
- SPF / DMARC 記錄相關
- 缺少 CSRF tokens(除非有證據證明一些敏感的用戶行為沒有受到 Token 的保護)
- 拒絕服務攻擊
- 垃圾郵件
- 點擊劫持
政策說明
Keystone 強烈支持並鼓勵大家對我們的產品的安全性進行研究。
因此,我們不會威脅任何遵守或善意違反本 Bug 賞金項目政策的人,也不會對遵守或違反本政策的人采取任何法律措施。
只要您遵守本政策,我們將取消服務條款中的所有限製,以便您放心地在本政策下進行安全研究。
提交流程
用PGP 加密電子郵箱将安全漏洞發送至 security@keyst.one。請以您的公鑰明文作為郵件開頭,我們會給予相應的回復。
郵件內容如下:
- 可以復現此問題的代碼,我們將以此做為證據
- 此漏洞的詳細描述和潛在影響
- 您的姓名或 Twitter 用戶名(此項非必填)
我們將在 5 個工作日之內對您提交的安全漏洞進行分類並給予回復,我們同樣會對您提交的漏洞當中不清晰的地方進行資訊,同時我們也會及時告知您驗證結果以及漏洞的修復過程。
此外,我們將會與您一起確定發布漏洞報告的時間。如果需要的時間比較長,我們也會提前與您溝通。
在您向我們提交漏洞報告時,默認您已經同意:未經 Keystone 書面允許,不得以任何形式向任何第三方公開您的報告。感謝您的支持和理解。
賞金
對發現有效漏洞的獎勵金額由 Keystone 自行決定。每筆獎勵的金額取決於數據影響的分類及其敏感性、漏洞報告的完整性、易利用性以及對 Keystone 用戶和品牌的綜合風險。
獎勵將以比特幣的形式直接支付給研究人員。
依據您的居住地或公司司法管轄區的法律,您將承擔所有稅務方面的責任。
我們可能隨時修改本計劃的條款或終止本計劃,恕不另行通知。
'/%3e%3crect%20x='18'%20y='59'%20width='44'%20height='1.5'%20fill='%2383868F'/%3e%3ccircle%20cx='29'%20cy='15'%20r='2'%20fill='%23E0516E'%20fill-opacity='0.24'/%3e%3ccircle%20cx='51'%20cy='15'%20r='2'%20fill='%23E0516E'%20fill-opacity='0.24'/%3e%3c/svg%3e)