2018年12月,Qtum量子链发布漏洞赏金计划,愿与全球区块链开发者共同完善Qtum产品与工具,提供更优秀的用户体验,共同打造便捷、稳定高效的新一代区块链平台。
“
Qtum量子链宣布入驻慢雾区,发布「安全漏洞与威胁情报赏金计划」,发现漏洞者可获取高额奖励,其中严重漏洞最高奖励 $10,000!
”
长久以来,区块链安全事件频发,行业快速发展下的安全问题存在诸多挑战,慢雾已覆盖十多万区块链安全开发者和黑客社区,此次Qtum量子链入驻慢雾区发布「安全漏洞与威胁情报赏金计划」,会有越来越多的开发者加入Qtum量子链安全技术生态中,提供更加稳定的区块链技术基础设施,Defining the blockchain economy!
更多详情可以点击 Qtum 漏洞赏金界面:https://slowmist.io/qtum/
业务范围
主要包括代码库中所有代码:https://github.com/Qtumproject/Qtum
处理流程
报告阶段:
报告者访问「慢雾区」网站,进入「赏金漏洞提交」页面(URL:https://slowmist.io/bug-bounty.html)提交威胁情报(状态:待审核)
处理阶段:
1. 一个工作日内,慢雾安全团队会确认「慢雾区」收到的威胁情报报告并跟进开始评估问题, 同时将情报反馈给 Qtum 对接人(状态:审核中)
2. 三个工作日内,Qtum 技术团队处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助
修复阶段:
1. Qtum 业务部门修复威胁情报中反馈的安全问题并安排更更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题 24 小时内,中危问题三个工作日内,低危问题七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定
2. 报告者复查安全问题是否修复(状态:已复查/复查异议)
3. 报告者确认安全问题已修复后,Qtum 技术团队告知慢雾安全团队处理结论和漏洞得分,并与慢雾安全团队一起发放奖励(状态:已结束)
漏洞评级及奖励标准
*注:奖励单位为美元,最终发放以等价值 BTC 的形式发放,提交漏洞时请填写比特币地址。
1. 对于在比特币、以太坊等网络上已上报的问题,赏金会相应的折算。
2. 以上奖励数额为该级别漏洞的最高奖励数额,具体的奖励发放数额会由 Qtum 安全团队决定。对于奖励的发放我们还会参照其中几项来进行评审,如仅上报漏洞者,只需要关注上报材料一项。
上报材料(25%):完整填写上报材料。
代码修复(50%):完成代码修复,并不引入新的问题,如果有新的问题被引入,需要在同一次提交中解决该问题。如果不做代码修复,只是提供修复建议,赏金会做相应折算。
自动化测试脚本覆盖或手动测试方法说明(25%):自动化测试脚本对代码的持续集成、快速迭代下的质量控制有极其重要的作用,所以自动测试脚本的完善会作为一项重要的考核指标:
-
提供自动化测试脚本:100%
-
提供手动测试说明:60%
注意事项
1. 如果已经有类似的 Issue 或者 Qtum 团队已经知道并在解决该问题的情况将不适用于该赏金计划。
2. 如果在解决前将问题公开,并造成危害的将不会获得赏金。
3. 修复时,请 fork 代码到自己的仓库中进行修复,然后提交 pull request 在 Qtum 成员 review 之后正式合入主干。
4. Qtum 团队成员是受雇于 Qtum 基金会,Qtum 成员直接或间接的参与 Bug 修复的情况将不会获得赏金。
5. 赏金计划以解决 Qtum 核心产品的技术,提升产品健壮性,Qtum 网站、论坛、组织架构等不在赏金计划之列。
6. 赏金计划的奖金与众多因素有关、工作量、影响范围、严重程度等,赏金计划的具体赏金数额以 Qtum 安全团队的结论为准。
具体不同等级具体标准可见:https://qtum.org/zh/developer/long-term/bugs