星云悬赏计划

星云漏洞悬赏计划

星云漏洞悬赏计划旨在提高整个星云生态的安全性,为构建星云良性生态提供保障。星云漏洞悬赏计划将为发现并提交漏洞的用户提供奖励,该计划由星云技术委员会组织实施,星云技术团队与社区用户共同参与。星云技术委员会鼓励社区用户按如下流程提交安全漏洞,并获得相应回馈,共同参与星云良性生态建设。

漏洞悬赏范围

漏洞悬赏范围包括星云主网、星云测试网、nebPay、Web钱包、neb.js等常规漏洞悬赏与合约间调用功能等专项漏洞悬赏。

漏洞评定标准

基于影响和可能性的OWASP风险评级模型计算的严重程度,星云技术委员会将根据漏洞的危害程度和可能的辐射范围两个维度评估奖励金额。最终奖励金额由星云技术委员会自行确定。

_images/bug-bounty-zh.png

危害程度:

  • 高:影响资产安全的漏洞
  • 中:影响系统稳定性的漏洞
  • 低:其它既不影响资产安全又不影响系统稳定性的漏洞

可能的辐射范围:

  • 高:所有人只要执行操作即可复现该漏洞,无论当前是否已经发现
  • 中:只有特定人群可复现(如只是开发者才可能遇到、普通用户不受影响的漏洞)
  • 低:覆盖面小于1%特定人群,如罕见Android机型;或个别偶发现象

漏洞奖励金额

为保证报告者获得稳定预期收益,悬赏奖励金额将以美元为标准发放等额NAS。 奖励金额分为5档:

  • 特别危险:1000+美元 + 上不封顶
  • 高危:500+美元
  • 中危:250 + 美元
  • 低危:100 + 美元
  • 改进:30+美元

注:星云测试网专项漏洞悬赏(如合约间调用功能测试网漏洞悬赏)价位等比上调,并以美元为标准发放等额NAS

漏洞提交入口

报告者需通过表单提交悬赏申请: 表单提交入口

注:

1.请确保填写内容准确性,悬赏奖金的发放将以此次表单提交内容为依据;

2.如有多人发现了相同的漏洞,最终以收到提交漏洞的先后次序为准,社区用户就漏洞问题的讨论不作为漏洞提交依据,仍需提交表单。

注意事项

1.星云漏洞悬赏计划长期有效,最终解释权归星云技术委员会所有,星云技术委员会保留单方面对本次漏洞悬赏计划的范围、标准、奖励金额等做出调整、取消的权利;

2.报告者提交悬赏申请后,星云技术委员会会进行确认并对提交漏洞进行跟进评估,评估时间将根据问题的严重程度及修复难度确定,评估结果会第一时间将以邮件形式反馈给对应报告者;

3.为避免漏洞被利用,请报告者将悬赏申请仅提交至漏洞悬赏入口;

4.报告者于发现漏洞至提交悬赏申请后的30天内负有保密义务,不得向任何第三方透露漏洞,该保密期限可以由星云单方面延长。如报告者违反保密义务,导致星云或其用户遭受任何损害的,应当赔偿所有相关损失;

5.星云技术委员会鼓励社区用户通过星云公共讨论组同星云技术团队、其他社区用户进行交流与讨论,也鼓励社区用户积极参与漏洞的修复。