NEO Vulnerability Bounty Program官方页面上线公告

NEONEO智能经济2018-09-22 19:54:33  阅读 -评论 0

NEO自创世以来,始终将安全问题摆在重要位置。主网上线近两年的时间里,对多个发现NEO漏洞的开发者和团队进行了奖励,为了使社区由更大热情参与到NEO生态建设,NEO成立了NEO Vulnerability Bounty Program(NEOVBP),这一项目旨在保障 NEO 区块链系统的安全性,给广大的社区安全专家们提供一个通道,如果发现关于我们的区块链底层的潜在安全性问题或者威胁,都可通过发送邮件至erik@neo.org,我们将调查所有合格的漏洞报告,并尽最大努力迅速解决问题。奖励将以美元等值的NEO的形式发放。

同时,2018年9月17日-24日是“中国国家网络安全宣传周”,“安全周”起源于2014年,今年是第五年。作为一个起源于中国的开源区块链项目,NEO在此期间发布Vulnerability Bounty Program(NEOVBP)的成立,积极响应政府政策与对网络安全问题的重视。

欢迎各界安全专家与团队加入Vulnerability Bounty Program,共同建设NEO生态的繁荣发展。

VulnerabilityBounty Program网址链接:https://neo.org/dev/bounty


Vulnerability Bounty Program细则

根据评定的 Vulnerability 严重程度等级,Vulnerability 的严重程度、影响度越高,奖励越高。在报告任何安全漏洞之前,请查看本页了解我们的责任披露政策、奖励方式以及编写报告内容的注意事项。


项目规则

Vulnerability的等级评估将会由 NEO 内部工程师根据严重程度、影响程度等多个维度进行判定打分。我们会根据风险和其他因素按优先顺序评估报告,因此可能需要一段时间才能回复您。第一个响应时间(从 Vulnerability 提交开始)为 5 个工作日,Vulnerability 评估的时间(从 Vulnerability 提交开始)为 10 个工作日。NEO 将会定期在官网以及社交媒体上发布项目反馈,获得奖励的参与者可在官方宣布结果的 3 天内收到奖金。最终解释权归 NEO 所有。

要得到最终的奖励需要满足以下规则:

1.只有影响区块链稳定性或安全性的设计或实施问题才属于该计划的范围,NEO 区块链上的相关设施(网站、文档、第三方客户端、区块链浏览器、开发工具等)不属于奖励范畴,详见下文 [漏洞奖励计划范畴](#漏洞奖励计划范畴)。

2.提交的 Vulnerability 需要有详细的重现步骤,如果报告的问题没有详细的细节,将不予与奖励。对 Vulnerability 搜集的证据和问题的定位越详细,奖励越高。

3.若多人提交重复报告,我们只会将奖金授予第一个提交问题的团队或个人。

4. 对于由一个 Vulnerability 引起的系列 Vulnerability,均视为同一个 Vulnerability,例如由于数据溢出引起的一系列计算错误。

以下规则不属于奖励的范畴:

1.已经公布的或者已知的 Vulnerability 不属于奖励的范畴。

2.提交者在 NEO 修复之前公布 Vulnerability,奖励将视为无效。

3.提交者利用已提交的 Vulnerability 破坏 NEO 生态,侵犯用户的利益,窃取用户资产,将取消奖励的资格;与此同时,NEO 有权对此采取司法手段。


漏洞奖励计划范畴

要符合获得奖励的资格,必须报告以下项目中存在的**安全**漏洞:

·      neo

·      neo-vm

·      neo-compiler

·      neo-cli

·      neo-gui

·      neo-devpack-dotnet

·      neo-plugins


报告提交标准请不要试图修改任何用户的数据或攻击 NEO 主网和测试网,您可以在自己搭建的私有链上查找漏洞。

如果发现我们的网络资产和手机应用的潜在安全性问题或者威胁,都可通过发送邮件至 erik@neo.org

请将下列要求内容添加在邮件报告中:

1.Asset- 与威胁漏洞相关的项目,详见 [漏洞奖励计划范畴](#漏洞奖励计划范畴)。

2.Severity- 严重程度,对问题的严重程度预估(高级 / 中等/ 低级)

3.Summary- ­对问题的总结描述

4.Description-­ 对问题的任何额外描述

5.Steps- 可重现步骤,要求 NEO 内部人员或者相关技术人员可清楚每一个步骤细节

6.SupportingMaterial / References ­- 相关引用和支持材料,可以使复制的源代码,截图,日志信息等等

7.Impact- 影响程度,攻击者会造成何种程度的安全影响

8.Yourname and country - 请注明您的姓名和国家


奖励规则

我们将通过 OWASP 风险评级方法对问题的严重程度进行评级,根据报告问题进行风险评估,分为 Critical, High, Medium, Low 四个等级,奖金将以等值的NEO 发放,问题的严重程度由下列等式计算:

Severity =Impact * Likelihood

与严重程度等级相关的奖金发放如下规则:

-Critical: Up to $10,000(NEO) 例如:导致用户资产发生损失的问题

- High:Up to $5,000(NEO)   例如:导致全网发生瘫痪的问题

- Medium:Up to $2,000(NEO)   例如:单个 Node 节点故障

- Low:Up to $500(NEO)   其他非 medium,high, critical 的有效问题

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

参与讨论 (0 人参与讨论)

相关推荐

ETH瞄准500美元,ETH 2.0第0阶段最终测试网今日上线,90%的ETH正处于盈利状态

ETH价格飙升之际,这又是一个里程碑,ETH自2020年初以来涨幅超过160%。即使ETH继续上涨,近期的短期调整仍可能发生。在测试网期间,验证者将不会获得真实的ETH作为奖励。不过在每个阶段来临时,ETH都将作出回应。

 ELA Wallet iOS v1.4.5版本更新公告

ELA Wallet iOS v1.4.5版本更新公告

ELA Wallet 是专注于支持亦来云生态数字资产安全、便捷的 SPV 轻节点客户端钱包。使用 ELA Wallet,您可以在完全去中心化的安全环境下,掌握自己的加密数字资产私钥,便捷地进行 ELA 存储、发送、接收,并可以在钱包内参与 CRC 共识。当前,ELA Wallet iOS v1.4.5 版本钱包已发布。本次 iOS 版更新内容如下:1. 支持 CryptoName 收款地址短域名功

ELA Wallet iOS v1.4.5版本更新公告

ELA Wallet iOS v1.4.5版本更新公告

ELA Wallet 是专注于支持亦来云生态数字资产安全、便捷的 SPV 轻节点客户端钱包。使用 ELA Wallet,您可以在完全去中心化的安全环境下,掌握自己的加密数字资产私钥,便捷地进行 ELA 存储、发送、接收,并可以在钱包内参与 CRC 共识。当前,ELA Wallet iOS v1.4.5 版本钱包已发布。本次 iOS 版更新内容如下:1. 支持 CryptoName 收款地址短域名功

分片项目Elrond公布与Orion Protocol集成路线图,年底将上线Defi资产

分片项目Elrond公布与Orion Protocol集成路线图,年底将上线Defi资产

律动 Blockbeats 消息,8 月 1 日,分片项目 Elrond 公布了与 Orion Protocol 集成路线图。根据公布的信息,接下来的 9、10 月,团队将完成以太坊桥接和 Metamask 的集成,年底将部署和上线 Defi 钱包和资产。

以太坊2.0上线后,会给DeFi带来哪些变化?

作者:蜻蜓资本管理合伙人 Haseeb Qureshi译者:荆凯来源:区块链研习社 我们知道,以太坊正在从 PoW 共识机制,逐渐向 PoS(Proof-of-Stake)共识机制过渡,这种过渡对 DeFi 行业意味着什么?以太坊 2.0 时代,DeFi 发展会呈现什么样貌?这篇文章,我们一起探寻。以太坊 2.0 的未来如果你今天想在以太坊上使用 DeFi 协议,会面临许多的限制。目前,以太坊只有

首个 Solana 加密钱包 SolFlare 上线,用户可轻松抵押代币

律动 Blockbeats 消息,8 月 3 日,随着 Solana 网络变得越来越成熟,代币持有者的需求也在不断增长,在这样的背景下,专门为 Solana 开发的加密钱包 SolFlare 正式推出,它是一款非托管型加密钱包,能够链接到 Solana 区块链并管理代币。

【实时更新】Uniswap新上线的项目汇总,IDO模式能否继续交易量神话?

【实时更新】Uniswap新上线的项目汇总,IDO模式能否继续交易量神话?

三个交易对成交量占 Uniswap 总交易量的 64.45%。新上线 Uniswap 的项目中,TEND/ETH、ETH/XAMP、YFII/ETH 的交易量排名前三,XAMP 交易量为 447 万美元,YFII 交易量为 283 万美元。

详解Framework Ventures投资版图:踩在DeFi风口上的投资机构

详解Framework Ventures投资版图:踩在DeFi风口上的投资机构

Framework 的创始人有两位:Michael Anderson和Vance Spencer,皆具有丰富的投行咨询、战略管理和产品开发经验。在创立 Framework 之前,2018 年,Spencer 和 Anderson 两人还共同创建过一家名为Hashletes 的游戏企业。大约一年前 Anderson 和 Spencer 创建了 Framework,初始启动基金约2000 万美元。

麦妖榜
更新日期 2019-09-03
排名用户贡献值
1牛市来了30910
2BitettFan24187
3等待的宿命23810
4区块大康20369
5六叶树20310
6linjm122719429
7天下无双16192
8lizhen00215280
9让时间淡忘14586
10yelanyi050511349
返回顶部 ↑