披露政策

重要提示 如需立即提交安全报告,请前往 report.elrond.com

Elrond区块链和相关核心组件的安全性是Elrond的重中之重。我们的权益证明(Proof of Stake)网络受到大量eGold的保护,并为企业或私人使用提供有价值的服务。我们的使命是成为互联网规模的数字金融系统的信任层,而最高的安全性是必不可少的前提。

安全研究人员社区定期为组织和更广泛的互联网安全做出宝贵贡献,Elrond认识到与社区建立紧密的联系将有助于提高Elrond区块链的安全性。因此,如果您拥有关于Elrond区块链和相关组件中的漏洞的信息,我们希望收到您的来信。

报告安全问题

请务必发送电子邮件至security@elrond.com

请不要在Github上公开包含有关潜在安全漏洞的信息的公共问题,因为这很难有效减少安全问题的影响。

请提供:

  • 一份完整且用英文完成的报告将有更大概率被接受;

  • 包含概念验证代码的报告将将有更大概率被接受;

  • 仅包含故障转储或其他自动工具输出的报告很可能不会被接受;

  • 包含超出范围的产品和服务的报告(请参阅下文的“范围”部分)将不被考虑;

  • 您是如何发现的漏洞、漏洞的影响以及任何可能的补救措施;

  • 任何公开披露计划。

您可以从我们这里得到:

  • 及时反馈的电子邮件(在2个工作日内);

  • 讨论问题的公开对话;

  • 确认并修复漏洞后,我们将授予信用。

披露政策的合作协调

我们要求安全研究人员将漏洞和关于漏洞提交的信息保密,直到开发出相应补丁来保护Elrond区块链及其用户。

请执行以下操作:

  • 允许Elrond团队在合理的时间内解决安全漏洞;

  • 避免利用您发现的任何漏洞;

  • 通过不中断或降低Elrond服务、产品和数据来展示诚信。

Elrond承诺只要遵守这项政策,就不会对研究人员提起法律诉讼。

披露程序

  1. 收到安全报告后,Elrond小组将核实问题并确定潜在威胁;

  2. 解决问题的补丁将在专用测试网上准备和测试;

  3. 通知验证者社区即将发布的公共测试网,以便及时为升级做好准备;

  4. 修补公共测试网并执行附加测试;

  5. 将向验证者社区通报即将发布的主网版本,以便及时为升级做好准备;

  6. 对主网进行修补并执行附加测试;

  7. 我们在GitHub上发布安全公告;

  8. 我们向问题的提交者授予信用和适当的奖励。

范围

越界行为

  • 涉及Elrond产品的欺诈和网络钓鱼企图;

  • 丢失或泄露的秘密短语、密钥库文件或私钥;

  • 物理漏洞;

  • 社会工程攻击;

  • 功能、UI和UX漏洞,例如拼写错误;

  • 描述性错误消息;

  • HTTP错误代码/页面。

联系我们

**重要提示:**如需立即提交安全报告,请前往 report.elrond.com

为了保护Elrond生态系统,我们要求您不要在任何公共环境中发布或共享有关潜在漏洞的任何信息,除非我们对已上报的漏洞完成了研究、响应和解决,并已在必要时向合作伙伴进行了通知。

Elrond的最新消息

订阅本站,获取更新通知与好消息 (仅英文)

  请使用有效的电子邮件地址 访问页面出错,请销后再试 Check the captcha checkbox
成功了,请检查您的邮箱确认订阅