developer-resource

繁體中文English

漏洞赏金计划

我们通过赏金计划来邀请软件安全社区研究和發掘 Matters 平臺上的安全漏洞。如果你想要报告安全漏洞或者有问题询问,请通过 security@matters.news 联繫我们。

符合标准的漏洞

以下域名与材料属于本计划范畴内:

爲符合该计划资格,你需要展示如何可重複地利用以上域名与材料中的安全漏洞,比如:

不符合标准的漏洞

以下是一些我们认爲不会造成明显威胁、或者需要结构性调整产品逻辑才能解决的议题。我们不将这些议题作爲有效漏洞,但我们仍然希望听到你的建议和评论。

  1. Self-XSS
  2. 没有实用攻击场景的 CSRF/CORS 配置漏洞
  3. 同一个用户註册多个帐号
  4. 自动化一些用户操作,例如赞赏、评论或者阅读记录
  5. 使用 Matters API 的第三方工具上的漏洞
  6. LikeCoin、IPFS 等第三方项目的内部逻辑

我们希望你:

我们会:

奖金

我们将会根据漏洞的严重程度和提交的完善程度自主决定奖金的级别。奖金可以以 LikeCoin(优先考虑) 的形式或者美元的形式送出。

关键:$500 (50000 LIKE)

关键的安全漏洞对广大用户或 Matters 平臺本身造成直接和立即的威胁。例如:

重要:$150(15000 LIKE)

重要的安全漏洞允许攻击者读取或者更改未经许可的铭感数据。重要安全漏洞一般而言比关键安全漏洞波及范围更小,但是仍然可以给攻击者打开大量未经许可的权限。例如:

中等:$100 (10000 LIKE)

中等的安全漏洞允许攻击者读取或者更改部分未经许可的数据。中等安全漏洞一般比重要安全漏洞暴露的数据敏感程度更低或者范围更小。比如:

轻度:在 GitHub 与 Matters 上致谢与认可

不属于以上定义的安全漏洞,或者週边服务及第三方依赖相关的漏洞。比如:

法务与尾註

我们只接受个人开發者与研究者的漏洞提交,而不与漏洞交易商合作。

如果你所居住的国家在美国禁止出口名单中,或者你在美国联邦通缉令或禁止出口名单上,你将无法参与这个计划。

我们保留对漏洞提交的价值和有效性的最终决定权。本项目在未来可能会变更和取消,但变更将不具追溯效力。感谢你和我们一起让 Matters 更加安全!