Richtlinie für eine verantwortungsbewusste Offenlegung von sicherheitsrelevanten Informationen
Die Sicherheit der Elrond-Blockchain und der zugehörigen Kernkomponenten hat für Elrond höchste Priorität. Unser sogenanntes Proof-of-Stake-Netzwerk ist durch beträchtliche Mengen an eGold gesichert und bietet wertvolle Dienste für den geschäftlichen oder privaten Gebrauch. Unsere Mission ist es, eine Vertrauensebene für digitale Finanzsysteme im Internetformat zu schaffen. Höchste Sicherheit ist dabei eine unabdingbare Voraussetzung.
Die Sicherheitsforschung leistet regelmäßig wertvolle Beiträge für die Sicherheit von Organisationen und des Internets im Allgemeinen, und Elrond ist sich bewusst, dass eine enge Beziehung mit der Forschergemeinschaft dazu beitragen wird, die Sicherheit der Elrond-Blockchain zu verbessern. Wenn Sie also Informationen über eine Schwachstelle in der Elrond-Blockchain und den zugehörigen Komponenten erhalten, dann würden wir uns über eine Mitteilung von Ihnen sehr freuen.
Sicherheitsproblem melden
Bitte senden SIE eine E-Mail an security[@]elrond[.]com
Bitte veröffentlichen Sie KEINE Meldungen eigenmächtig auf GitHub, die Informationen über eine potenzielle Sicherheitslücke aufweisen, da dies die Eindämmung der Folgen von festgestellten Sicherheitsproblemen erschwert.
Was zu beachten ist:
-
Englischsprachige, gut geschriebene Berichte haben eine höhere Chance, akzeptiert zu werden
-
Berichte, die einen Proof-of-Concept-Code enthalten, werden mit größerer Wahrscheinlichkeit akzeptiert
-
Berichte, die nur Absturzdaten oder andere automatische Programmausgaben enthalten, werden höchstwahrscheinlich nicht akzeptiert
-
Berichte, die Produkte und Dienstleistungen enthalten, die nicht in den Anwendungsbereich fallen (siehe Abschnitt „Anwendungsbereich“ unten), werden nicht berücksichtigt
-
Geben Sie an, wie Sie den Fehler gefunden haben, welche Auswirkungen er hat und wie Sie ihn beheben können
-
Pläne für die öffentliche Bekanntmachung
Was Sie von uns erwarten können:
-
Eine zeitnahe Antwort auf Ihre E-Mail (innerhalb von 2 Werktagen).
-
Einen offenen Dialog, um Themen diskutieren zu können.
-
Eine Anerkennung, nachdem die Schwachstelle validiert und behoben wurde.
Koordination der Richtlinie für eine verantwortungsbewusste Offenlegung von sicherheitsrelevanten Informationen
Wir ersuchen die Sicherheitsexperten, Sicherheitslücken und die Kommunikation rund um die Einreichung von Sicherheitslücken privat und vertraulich zu halten, bis ein Patch entwickelt wurde, um die Elrond-Blockchain und ihre Nutzer zu schützen.
Bitte beachten Sie:
-
Geben Sie dem Elrond-Team eine angemessene Zeit, um Sicherheitslücken zu schließen.
-
Vermeiden Sie den Missbrauch von Schwachstellen, die Sie entdecken.
-
Gutgläubigkeit unter Beweis stellen, indem Sie die Dienste, Produkte und Daten von Elrond nicht beeinträchtigen oder mindern.
Elrond verpflichtet sich, keine rechtlichen Schritte gegen Forscher einzuleiten, solange sie sich an diese Richtlinie halten.
Verantwortungsbewusster Offenlegungsprozess
-
Sobald eine Sicherheitsmeldung eingeht, verifiziert das Elrond-Team das Problem und stellt die potenzielle Bedrohung fest.
-
Patches zur Behebung der Probleme werden vorbereitet und in privaten Versuchsnetzwerken getestet.
-
Die Prüfergemeinschaft wird über ein bevorstehendes öffentliches Versuchsnetzwerk-Release informiert, um sie rechtzeitig auf ein Upgrade vorzubereiten.
-
Das öffentliche Versuchsnetzwerk wird gepatcht und zusätzliche Tests werden durchgeführt.
-
Die Prüfergemeinschaft wird über ein bevorstehendes Hauptnetzwerk-Release informiert, um sie auf ein rechtzeitiges Upgrade vorzubereiten.
-
Das Hauptnetzwerk wird gepatcht und zusätzliche Tests werden durchgeführt.
-
Wir veröffentlichen einen Sicherheitshinweis auf GitHub.
-
Wir geben dem / den Einreicher(n) der Meldung eine Anerkennung und eine angemessene Vergütung.
Anwendungsbereich
-
Elrond Protokoll-Repository: https://github.com/ElrondNetwork/elrond-go
-
SDK Repository: https://github.com/ElrondNetwork/elrond-sdk
-
Elrond Proxy Repository: https://github.com/ElrondNetwork/elrond-proxy-go
-
Virtuelle Maschine (Arwen) Repository: https://github.com/ElrondNetwork/arwen-wasm-vm
-
Wallet zu finden unter https://wallet.elrond.com
-
Explorer zu finden unter https://explorer.elrond.com
-
Andere Repositories, die potenzielle Sicherheitsrisiken für die Elrond-Blockchain und entsprechende Dienste enthalten. Repository: https://github.com/ElrondNetwork
-
Andere Webkomponenten, die mit elrond.com in Verbindung stehen und ein Sicherheitsrisiko für Elrond-bezogene Dienste darstellen. Zu finden unter *.elrond.com
Außerhalb des Anwendungsbereichs
-
Betrugs- und Phishing-Versuche mit Elrond-Produkten
-
Verlorene oder kompromittierte geheime Sätze, Keystore-Dateien oder private Schlüssel
-
Physikalische Schwachstellen
-
Social-Engineering-Angriffe
-
Funktions-, UI- und UX-Fehler wie z. B. Rechtschreibfehler
-
Beschreibende Fehlermeldungen
-
HTTP-Fehlercodes / -seiten
Kontaktieren Sie uns
Kontaktieren Sie uns unter security[@]elrond[.]com. Egal, ob Sie ein Problem oder eine Empfehlung einreichen oder sicherheitsrelevante Themen ansprechen möchten, wir freuen uns, von Ihnen zu hören.
Um das Elrond-Ökosystem zu schützen, bitten wir Sie, keine Informationen über eine potenzielle Sicherheitslücke in einem öffentlichen Umfeld zu verbreiten oder weiterzugeben, bis wir die gemeldete Sicherheitslücke untersucht, beantwortet und behoben und gegebenenfalls unsere Partner informiert haben.