Política de divulgación responsable
Nota importante: para cualquier informe de seguridad inmediato, diríjase a report.elrond.com
La seguridad de la blockchain de Elrond y los componentes centrales asociados es una prioridad para Elrond. Nuestra red de Prueba de participación está protegida por cantidades considerables de eGold y proporciona valiosos servicios para uso comercial o privado. Nuestra misión es convertirnos en una capa de confianza para los sistemas financieros digitales a escala de Internet y el mayor nivel de seguridad es un requisito previo obligatorio.
La comunidad de investigadores de seguridad hace regularmente contribuciones valiosas a la seguridad de las organizaciones y a la Internet en general y Elrond reconoce que fomentar una relación cercana con la comunidad ayudará a mejorar la seguridad de la blockchain de Elrond. De manera que, si tiene información sobre una vulnerabilidad en la blockchain de Elrond y los componentes asociados, queremos que nos lo comunique.
Informar de un problema de seguridad
Por favor, envíe un correo electrónico a security[@]elrond[.]com
Por favor, NO abra temas públicos en Github que contengan información sobre una posible vulnerabilidad de seguridad, ya que esto dificulta la reducción del impacto de problemas de seguridad válidos.
Qué incluir:
-
Los informes bien redactados en inglés tendrán más posibilidades de ser aceptados
-
Los informes que incluyan un código de prueba de concepto tendrán más probabilidades de ser aceptados
-
Lo más probable es que no se acepten los informes que solo incluyan volcados de cuelgues u otra salida de herramientas automatizadas
-
Los informes que incluyan productos y servicios fuera del alcance (consulte la sección Alcance a continuación) no se considerarán
-
Incluya cómo encontró el error, el impacto y cualquier posible solución
-
Cualquier plan de divulgación pública
Qué puede esperar de nosotros:
-
Una respuesta oportuna a su correo electrónico (dentro de 2 días hábiles).
-
Un diálogo abierto para discutir problemas.
-
Crédito después de que la vulnerabilidad haya sido validada y corregida.
Política de divulgación responsable coordinada
Pedimos a los investigadores de seguridad que mantengan las vulnerabilidades y las comunicaciones relacionadas con los envíos de vulnerabilidades de forma privada y confidencial hasta que se desarrolle un parche para proteger la blockchain de Elrond y sus usuarios.
Por favor:
-
Permita al equipo de Elrond una cantidad de tiempo razonable para abordar las vulnerabilidades de seguridad
-
Evite explotar cualquier vulnerabilidad que descubra
-
Demuestre buena fe al no interrumpir ni degradar los servicios, productos y datos de Elrond
Elrond se compromete a no iniciar acciones legales contra los investigadores siempre que se adhieran a la presente política.
Proceso de divulgación responsable
-
En cuanto se recibe un informe de seguridad, el equipo de Elrond verifica el problema y establece la amenaza potencial
-
Los parches para abordar los problemas se prepararán y probarán en redes de prueba privadas
-
Se informa a la comunidad de validadores sobre un próximo lanzamiento público de la red de prueba para prepararlos para la actualización de manera oportuna.
-
La red de prueba pública está parcheada y se realizan pruebas adicionales.
-
Se informa a la comunidad de validadores sobre una próxima versión de mainnet para prepararlos para la actualización de manera oportuna
-
La mainnet está parcheada y se realizan pruebas adicionales.
-
Publicamos un aviso de seguridad en GitHub
-
Damos crédito y recompensas aplicables a los remitentes del problema.
Alcance
-
Repositorio del protocolo de Elrond: https://github.com/ElrondNetwork/elrond-go
-
Repositorio del SDK: https://github.com/ElrondNetwork/elrond-sdk
-
Repositorio de proxy de Elrond: https://github.com/ElrondNetwork/elrond-proxy-go
-
Repositorio de la máquina virtual (Arwen): https://github.com/ElrondNetwork/arwen-wasm-vm
-
Cartera ubicada en https://wallet.elrond.com
-
Explorador ubicado en https://explorer.elrond.com
-
Otros repositorios que contienen posibles riesgos de seguridad para la blockchain de Elrond y los servicios correspondientes. Repositorio: https://github.com/ElrondNetwork
-
Otros componentes web relacionados con elrond.com que representan un riesgo de seguridad para los servicios relacionados con Elrond. Ubicados en *.elrond.com
Fuera del alcance
-
Intentos de estafa y phishing relacionados con productos de Elrond
-
Frases secretas, archivos de almacén de claves o claves privadas perdidas o comprometidas
-
Vulnerabilidades físicas
-
Ataques de ingeniería social
-
Errores funcionales, de IU y UX, como errores ortográficos
-
Mensajes de error descriptivos
-
Códigos/páginas de error HTTP
Contáctenos
Nota importante: para cualquier informe de seguridad inmediato, diríjase a report.elrond.com
Para proteger el ecosistema de Elrond, le solicitamos que no publique ni comparta información sobre una vulnerabilidad potencial en ningún entorno público hasta que hayamos investigado, respondido y abordado la vulnerabilidad informada e informado a los socios si es necesario.