NEO Vulnerability Bounty Program官方页面上线公告

NEO自创世以来,始终将安全问题摆在重要位置。主网上线近两年的时间里,对多个发现NEO漏洞的开发者和团队进行了奖励,为了使社区由更大热情参与到NEO生态建设,NEO成立了NEO Vulnerability Bounty Program(NEO VBP),这一项目旨在保障 NEO 区块链系统的安全性,给广大的社区安全专家们提供一个通道,如果发现关于我们的区块链底层的潜在安全性问题或者威胁,都可通过发送邮件至erik@neo.org,我们将调查所有合格的漏洞报告,并尽最大努力迅速解决问题。奖励将以美元等值的NEO的形式发放。

同时,2018年9月17日-24日是“中国国家网络安全宣传周”,“安全周”起源于2014年,今年是第五年。作为一个起源于中国的开源区块链项目,NEO在此期间发布Vulnerability Bounty Program(NEO VBP)的成立,积极响应政府政策与对网络安全问题的重视。

欢迎各界安全专家与团队加入Vulnerability Bounty Program,共同建设NEO生态的繁荣发展。

Vulnerability Bounty Program网址链接:https://neo.org/dev/bounty

Vulnerability Bounty Program细则

根据评定的 Vulnerability 严重程度等级,Vulnerability 的严重程度、影响度越高,奖励越高。在报告任何安全漏洞之前,请查看本页了解我们的责任披露政策、奖励方式以及编写报告内容的注意事项。

项目规则

Vulnerability 的等级评估将会由 NEO 内部工程师根据严重程度、影响程度等多个维度进行判定打分。我们会根据风险和其他因素按优先顺序评估报告,因此可能需要一段时间才能回复您。第一个响应时间(从 Vulnerability 提交开始)为 5 个工作日,Vulnerability 评估的时间(从 Vulnerability 提交开始)为 10 个工作日。NEO 将会定期在官网以及社交媒体上发布项目反馈,获得奖励的参与者可在官方宣布结果的 3 天内收到奖金。最终解释权归 NEO 所有。

要得到最终的奖励需要满足以下规则:

  1. 只有影响区块链稳定性或安全性的设计或实施问题才属于该计划的范围,NEO 区块链上的相关设施(网站、文档、第三方客户端、区块链浏览器、开发工具等)不属于奖励范畴,详见下文 [漏洞奖励计划范畴](#漏洞奖励计划范畴)。
  2. 提交的 Vulnerability 需要有详细的重现步骤,如果报告的问题没有详细的细节,将不予与奖励。对 Vulnerability 搜集的证据和问题的定位越详细,奖励越高。
  3. 若多人提交重复报告,我们只会将奖金授予第一个提交问题的团队或个人。
  4. 对于由一个 Vulnerability 引起的系列 Vulnerability,均视为同一个 Vulnerability,例如由于数据溢出引起的一系列计算错误。

以下规则不属于奖励的范畴:

  1. 已经公布的或者已知的 Vulnerability 不属于奖励的范畴。
  2. 提交者在 NEO 修复之前公布 Vulnerability,奖励将视为无效。
  3. 提交者利用已提交的 Vulnerability 破坏 NEO 生态,侵犯用户的利益,窃取用户资产,将取消奖励的资格;与此同时,NEO 有权对此采取司法手段。

漏洞奖励计划范畴

要符合获得奖励的资格,必须报告以下项目中存在的**安全**漏洞:

报告提交标准

请不要试图修改任何用户的数据或攻击 NEO 主网和测试网,您可以在自己搭建的私有链上查找漏洞。

如果发现我们的网络资产和手机应用的潜在安全性问题或者威胁,都可通过发送邮件至 erik@neo.org

请将下列要求内容添加在邮件报告中:

  1. Asset – 与威胁漏洞相关的项目,详见 [漏洞奖励计划范畴](#漏洞奖励计划范畴)。
  2. Severity – 严重程度,对问题的严重程度预估(高级 / 中等 / 低级)
  3. Summary – ­对问题的总结描述
  4. Description -­ 对问题的任何额外描述
  5. Steps – 可重现步骤,要求 NEO 内部人员或者相关技术人员可清楚每一个步骤细节
  6. Supporting Material / References ­- 相关引用和支持材料,可以使复制的源代码,截图,日志信息等等
  7. Impact – 影响程度,攻击者会造成何种程度的安全影响
  8. Your name and country – 请注明您的姓名和国家

奖励规则

我们将通过 [OWASP](https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology) 风险评级方法对问题的严重程度进行评级,根据报告问题进行风险评估,分为 Critical, High, Medium, Low 四个等级,奖金将以等值的 NEO 发放,问题的严重程度由下列等式计算:

Severity = Impact * Likelihood

与严重程度等级相关的奖金发放如下规则:

– Critical: Up to $10,000(NEO) 例如:导致用户资产发生损失的问题

– High:Up to $5,000(NEO)   例如:导致全网发生瘫痪的问题

– Medium:Up to $2,000(NEO)   例如:单个 Node 节点故障

– Low:Up to $500(NEO)   其他非 medium, high, critical 的有效问题

原文链接:https://neo.org/blog/details/4106


NEOFANS 微博:https://www.weibo.com/neofanscommunity

NEOFANS Telegram群:t.me/NEOfansCN

发表评论

Top