Policy di comunicazione responsabile
Nota importante: per qualsiasi segnalazione immediata sulla sicurezza, vai a report.elrond.com
La sicurezza della blockchain di Elrond e dei componenti principali ad essa associati è una priorità assoluta per la Società. La nostra rete Proof of Stake è garantita da quantità considerevoli di eGold e fornisce servizi preziosi sia per l’uso aziendale che quello privato. La nostra missione è arrivare a godere di un livello di fiducia per quanto riguarda i sistemi finanziari digitali su scala Internet e offrire il massimo livello di sicurezza è un prerequisito obbligatorio.
La community dei ricercatori impegnati nella sicurezza fornisce regolarmente contributi preziosi alla quella delle organizzazioni e di Internet in generale; Elrond è consapevole che la promozione di uno stretto rapporto con la community aiuterà a migliorare la sicurezza della blockchain di Elrond. Quindi, se qualcuno possiede informazioni su una vulnerabilità nella blockchain di Elrond e nei componenti ad essa associati, noi vogliamo conoscerle.
Segnalazione di un problema nella sicurezza
INVIARE una email all’indirizzo security[@]elrond[.]com
Si prega di NON segnalare pubblicamente problemi su GitHub che contengono informazioni su una potenziale vulnerabilità nella sicurezza, poiché ciò renderebbe difficile ridurre l’impatto di validi problemi nella sicurezza.
Cosa includere:
-
i report chiari e redatti in inglese avranno maggiori possibilità di essere accettati;
-
i report che includono il codice Proof of Concept avranno maggiori probabilità di essere accettati;
-
i report che includono solo i crash dump del sistema o altri output di strumenti automatici, molto probabilmente non saranno accettati;
-
i report che includono prodotti e servizi non rientranti nell'ambito (vedi la sezione Ambito di applicazione di questo documento) non verranno presi in considerazione;
-
includere la descrizione di come è stato scoperto il bug, l’impatto e qualsiasi potenziale rimedio;
-
Eventuali piani per la divulgazione al pubblico.
Cosa ci si può attendere da noi:
-
una risposta tempestiva alle email (entro 2 giorni lavorativi);
-
una finestra di dialogo aperta per discutere i problemi;
-
un credito, una volta convalidata e risolta l’invulnerabilità.
Policy di comunicazione coordinata responsabile
Chiediamo ai ricercatori impegnati nella sicurezza di mantenere private e riservate le vulnerabilità e le comunicazioni relative agli invii di segnalazioni di vulnerabilità fino a quando non verrà sviluppata una patch a protezione della blockchain di Elrond e dei suoi utenti.
Cosa fare:
-
concedere al team di Elrond un ragionevole lasso di tempo per affrontare le vulnerabilità nella sicurezza;
-
evitare di sfruttare le vulnerabilità scoperte;
-
dimostrare buona fede astenendosi dall’interrompere o dal degradare prodotti, servizi e dati di Elrond.
Fintanto che aderiranno a questa policy, Elrond si impegna a non avviare azioni legali contro i ricercatori.
Processo di comunicazione responsabile
-
Una volta ricevuta una segnalazione di un problema nella sicurezza, il team di Elrond lo verificherà e stabilirà la potenziale minaccia.
-
Le patch per la risoluzione di problemi verranno preparate e testate su testnet private.
-
La community dei Validatori verrà informata in merito a un’imminente release pubblica di testnet per prepararli tempestivamente all’upgrade.
-
La testnet pubblica sarà patchata e verranno eseguiti ulteriori test.
-
La community dei Validatori verrà informata in merito a un’imminente versione della mainnet per prepararli tempestivamente all’upgrade.
-
La mainnet sarà patchata e verranno eseguiti ulteriori test.
-
Pubblicheremo un avviso sulla sicurezza su GitHub
-
Concederemo i crediti e le ricompense previste a chi ha segnalato il problema.
Ambito di applicazione
-
Repository Protocollo Elrond: https://github.com/ElrondNetwork/elrond-go
-
Repository SDK: https://github.com/ElrondNetwork/elrond-sdk
-
Repository Proxy Elrond: https://github.com/ElrondNetwork/elrond-proxy-go
-
Repository Virtual Machine (Arwen): https://github.com/ElrondNetwork/arwen-wasm-vm
-
Wallet ubicato su https://wallet.elrond.com
-
Explorer ubicato su https://explorer.elrond.com
-
Altre repository contenenti potenziali rischi di compromissione della sicurezza per la blockchain di Elrond e ai relativi servizi. Repository: https://github.com/ElrondNetwork
-
Altri componenti web correlati a elrond.com che rappresentano un rischio di compromissione delle sicurezza per i servizi relativi a Elrond. Ubicati su *.elrond.com
Fuori dall'ambito di applicazione
-
Tentativi di frode e phishing che coinvolgano prodotti di Elrond.
-
Perdita o compromissione di frasi, file contenenti chiavi o chiavi private segrete.
-
Vulnerabilità fisiche.
-
Attacchi di social engineering.
-
Bug funzionali, UI e UX, come errori ortografici.
-
Messaggi di errori descrittivi.
-
Codici/pagine con errori HTTP.
Contatti
Nota importante: per qualsiasi segnalazione immediata sulla sicurezza, vai a report.elrond.com
Al fine di proteggere l’ecosistema di Elrond, chiediamo di astenersi dal pubblicare o condividere alcuna informazione inerente a potenziali problemi di vulnerabilità su siti pubblici fino a quando non avremo studiato, reagito e affrontato la vulnerabilità segnalata e, se necessario, informato i nostri partner.