Política de divulgación responsable

Nota importante: para cualquier informe de seguridad inmediato, diríjase a report.elrond.com

La seguridad de la blockchain de Elrond y los componentes centrales asociados es una prioridad para Elrond. Nuestra red de Prueba de participación está protegida por cantidades considerables de eGold y proporciona valiosos servicios para uso comercial o privado. Nuestra misión es convertirnos en una capa de confianza para los sistemas financieros digitales a escala de Internet y el mayor nivel de seguridad es un requisito previo obligatorio.

La comunidad de investigadores de seguridad hace regularmente contribuciones valiosas a la seguridad de las organizaciones y a la Internet en general y Elrond reconoce que fomentar una relación cercana con la comunidad ayudará a mejorar la seguridad de la blockchain de Elrond. De manera que, si tiene información sobre una vulnerabilidad en la blockchain de Elrond y los componentes asociados, queremos que nos lo comunique.

Informar de un problema de seguridad

Por favor, envíe un correo electrónico a security[@]elrond[.]com

Por favor, NO abra temas públicos en Github que contengan información sobre una posible vulnerabilidad de seguridad, ya que esto dificulta la reducción del impacto de problemas de seguridad válidos.

Qué incluir:

  • Los informes bien redactados en inglés tendrán más posibilidades de ser aceptados

  • Los informes que incluyan un código de prueba de concepto tendrán más probabilidades de ser aceptados

  • Lo más probable es que no se acepten los informes que solo incluyan volcados de cuelgues u otra salida de herramientas automatizadas

  • Los informes que incluyan productos y servicios fuera del alcance (consulte la sección Alcance a continuación) no se considerarán

  • Incluya cómo encontró el error, el impacto y cualquier posible solución

  • Cualquier plan de divulgación pública

Qué puede esperar de nosotros:

  • Una respuesta oportuna a su correo electrónico (dentro de 2 días hábiles).

  • Un diálogo abierto para discutir problemas.

  • Crédito después de que la vulnerabilidad haya sido validada y corregida.

Política de divulgación responsable coordinada

Pedimos a los investigadores de seguridad que mantengan las vulnerabilidades y las comunicaciones relacionadas con los envíos de vulnerabilidades de forma privada y confidencial hasta que se desarrolle un parche para proteger la blockchain de Elrond y sus usuarios.

Por favor:

  • Permita al equipo de Elrond una cantidad de tiempo razonable para abordar las vulnerabilidades de seguridad

  • Evite explotar cualquier vulnerabilidad que descubra

  • Demuestre buena fe al no interrumpir ni degradar los servicios, productos y datos de Elrond

Elrond se compromete a no iniciar acciones legales contra los investigadores siempre que se adhieran a la presente política.

Proceso de divulgación responsable

  1. En cuanto se recibe un informe de seguridad, el equipo de Elrond verifica el problema y establece la amenaza potencial

  2. Los parches para abordar los problemas se prepararán y probarán en redes de prueba privadas

  3. Se informa a la comunidad de validadores sobre un próximo lanzamiento público de la red de prueba para prepararlos para la actualización de manera oportuna.

  4. La red de prueba pública está parcheada y se realizan pruebas adicionales.

  5. Se informa a la comunidad de validadores sobre una próxima versión de mainnet para prepararlos para la actualización de manera oportuna

  6. La mainnet está parcheada y se realizan pruebas adicionales.

  7. Publicamos un aviso de seguridad en GitHub

  8. Damos crédito y recompensas aplicables a los remitentes del problema.

Alcance

Fuera del alcance

  • Intentos de estafa y phishing relacionados con productos de Elrond

  • Frases secretas, archivos de almacén de claves o claves privadas perdidas o comprometidas

  • Vulnerabilidades físicas

  • Ataques de ingeniería social

  • Errores funcionales, de IU y UX, como errores ortográficos

  • Mensajes de error descriptivos

  • Códigos/páginas de error HTTP

Contáctenos

Nota importante: para cualquier informe de seguridad inmediato, diríjase a report.elrond.com

Para proteger el ecosistema de Elrond, le solicitamos que no publique ni comparta información sobre una vulnerabilidad potencial en ningún entorno público hasta que hayamos investigado, respondido y abordado la vulnerabilidad informada e informado a los socios si es necesario.

Mantente informado y nunca te pierdas una noticia de Elrond!

Suscríbete para recibir nuestras newsletters semanales y noticias apasionantes. (Sólo ingles)

  Por favor, usa una dirección de email válida Ha ocurrido un error. Por favor, intentalo de nuevo. Check the captcha checkbox
Perfecto, comprueba tu email para confirmar la suscripción