Qtum 安全漏洞与威胁情报赏金计划

返回首页 EN
目录
正文

Qtum - DEFINING THE BLOCKCHAIN ECONOMY.

业务范围

主要包括代码库中所有代码:https://github.com/Qtumproject/Qtum

处理流程

报告阶段

报告者访问「慢雾区」网站,进入「赏金漏洞提交」页面(URL:https://slowmist.io/bug-bounty.html)提交威胁情报(状态:待审核)

处理阶段

1. 一个工作日内,慢雾安全团队会确认「慢雾区」收到的威胁情报报告并跟进开始评估问题, 同时将情报反馈给 Qtum 对接人(状态:审核中)

2. 三个工作日内,Qtum 技术团队处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助

修复阶段

1. Qtum 业务部门修复威胁情报中反馈的安全问题并安排更更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题 24 小时内,中危问题三个工作日内,低危问题七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定

2. 报告者复查安全问题是否修复(状态:已复查/复查异议)

3. 报告者确认安全问题已修复后,Qtum 技术团队告知慢雾安全团队处理结论和漏洞得分,并与慢雾安全团队一起发放奖励(状态:已结束)

漏洞评级及奖励标准

等级 QTUM 奖励* 慢雾区奖励
提交与解决问题 仅提交问题
严重 $10,000 $2,000 512 慢雾币
高危 $5,000 $1,000 256 慢雾币
中危 $2,500 $600 100 慢雾币
低危 $1,200 $300 32 慢雾币
改进 $600 $200 32 慢雾币

*注:奖励单位为美元,最终发放以等价值 BTC 的形式发放,提交漏洞时请填写比特币地址。

1. 对于在比特币、以太坊等网络上已上报的问题,赏金会相应的折算。

2. 以上奖励数额为该级别漏洞的最高奖励数额,具体的奖励发放数额会由 Qtum 安全团队决定。对于奖励的发放我们还会参照其中几项来进行评审,如仅上报漏洞者,只需要关注上报材料一项。

上报材料(25%):

完整填写上报材料。

代码修复(50%):

完成代码修复,并不引入新的问题,如果有新的问题被引入,需要在同一次提交中解决该问题。

如果不做代码修复,只是提供修复建议,赏金会做相应折算。

自动化测试脚本覆盖或手动测试方法说明(25%):

自动化测试脚本对代码的持续集成、快速迭代下的质量控制有极其重要的作用,所以自动测试脚本的完善会作为一项重要的考核指标:

注意事项

1. 如果已经有类似的 Issue 或者 Qtum 团队已经知道并在解决该问题的情况将不适用于该赏金计划。

2. 如果在解决前将问题公开,并造成危害的将不会获得赏金。

3. 修复时,请 fork 代码到自己的仓库中进行修复,然后提交 pull request 在 Qtum 成员 review 之后正式合入主干。

4. Qtum 团队成员是受雇于 Qtum 基金会,Qtum 成员直接或间接的参与 Bug 修复的情况将不会获得赏金。

5. 赏金计划以解决 Qtum 核心产品的技术,提升产品健壮性,Qtum 网站、论坛、组织架构等不在赏金计划之列。

6. 赏金计划的奖金与众多因素有关、工作量、影响范围、严重程度等,赏金计划的具体赏金数额以 Qtum 安全团队的结论为准。

严重漏洞

严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。

包括但不限于:

高危漏洞

中危漏洞

低危漏洞