ECC制定行业标准,规范市场秩序
作者:DarrenRM 来源:Decrypt 翻译:头等仓_July 编译:头等仓_Eleven 译文版权所属头等仓,转载请注明并保留前言信息。
加密货币及相关软件责任披露标准
背景
加密货币代表传统金融的一次彻底转变,同时也是一次重塑金融世界的机会。要记住一点,加密货币也是真金白银,一旦安全方面出现漏洞会造成巨额的损失,伤害波及所有参与者。
有些开源项目使用相同的代码,将扩展容量和投资作为共同目标,由市场对项目完整性的信心驱动,受益于安全且定义明确的漏洞共享流程。
出于这个原因,我们正式制定了一项责任披露政策,对各组织如何以合乎道德、负责和有利于生态系统的方式共享漏洞信息设定了标准。
指导原则
· 在实现加密货币的主流采用之前,要先实现生态系统和技术的安全性,这比业内竞争更重要,至少在考虑安全漏洞信息时理应如此。
· 实现披露基本安全应对措施的采用对生态系统的繁荣和每个成员都至关重要。
· 该标准必须反映并尊重加密货币生态系统的复杂性,让各组织能在遵守基本标准的基础上进行实践和实现自我价值。
目的
标准旨在对披露流程设定目标和限制,鼓励各方参与重要的安全实践,减少披露漏洞涉及的工作量,减少混淆,最终所有的参与者都能从中受益。
如何使用这个标准
1. 完整阅读标准。
2. 考虑自己是否能认可和遵循相关条款和流程,欢迎各种形式的反馈。
3. 如果能够接受,请您公开承担相应责任,按照标准行事。
4. 事先告知无法接受的标准内容,该标准留有部分协商空间,以适应不同的加密货币技术,如果存在部分难以实施的条款,事先告知会使后续决定更加合理,披露流程对提交漏洞的用户来说也更容易理解。
公开遵守披露程序
遵守标准还包括公布披露流程的附录部分,对您项目的特定政策进行概述。
1. 首选的联系方式(例如安全的电子邮件地址)。
2. 如何安全地使用该联系方式(例如完整的公钥)。
3. 如果发现漏洞,公布漏洞赏金计划的详细信息,比如包含或不包含的内容(可以附上包含详细信息的内容页面链接)。
4. 制定一个相似项目列表,发现或被告知可能影响关联产品的漏洞时可以及时通知止损。
5. 该标准的链接。
6. 接受披露标准的最新日期。
公开遵循披露关系
为了增强生态系统凝聚力、实现合作预期、及时提供漏洞信息,每个参与组织都必须对可能影响到相关项目的漏洞进行公开披露,只要遵循标准条款,本标准不对参与组织的披露对象进行限制,也不要求项目在修复漏洞前必须共享漏洞信息(如果项目处于易受攻击的状态)。
之所以要公开披露是为了满足代理方的共享需求,尤其是在他们也受到来自披露漏洞的威胁的情况下,最后各方的合作人员将合作修复,发布更新,与披露方一道公布漏洞的详细信息。
如果与您建立披露关系的项目也认可遵循该标准,请在承诺书中附上他们的页面链接,或者附上他们公布的联系方式链接。
标准
要遵守此标准,您的组织需要发布文件,详细描述披露流程,遵循相关的基本惯例,可以以本文档作为起点参考,也可以发布在GitHub上。无论在哪个平台发布,务必确保有稳定的URL链接,以便与其他参与组织相关联。
道德行为
负责人的披露行为理应符合道德标准,本指南对整体社区的最佳实践方式进行了概述,无论您是提交漏洞的用户,还是接受提交的用户,只要表示接受此政策,也意味着您默认将以合乎道德的方式处理漏洞信息,并遵守以下规则:
· 不要试图利用漏洞或借助漏洞的存在作为金融交易策略为自己牟利。
· 不要试图破坏产品开发系统,包括但不限于损害开发系统、帐户、域名、电子邮件等。
· 不要试图出售漏洞信息或利用漏洞。
· 不向受影响的组织或项目收取任何形式的报酬。
· 如果您希望获取披露漏洞的所有信息,可以适当补偿披露方。
· 在告知与您建立披露关系的组织以前,请勿在邮件列表、公示栏、论坛、社交媒体或任何其他渠道中提前披露错误或漏洞。
· 请勿尝试任何非法行为、包括网络钓鱼、物理攻击、DDoS或任何未经授权获取访问权限的行为。
标准披露时间表
某些漏洞需要更多的时间来修复,并且一些组织的修复能力更快,这种能力在不同时间段存在波动性。
首次联系
在对建立关系的相关项目进行首次披露时,您必须遵照安全流程,使用他们公布的联系方式与他们联系,如果在两个工作日内没有收到回复,则需要再尝试两次,每次间隔两个工作日。如果还是没有收到确认邮件,可以尝试用其他方法建立联系,但是在通信方式的安全性没有得到确保的情况下,信息不得包含漏洞详细信息。
如果首次联系没有收到回复,则需要发送另外的信息说明自己未收到回复(至少3次),将首次披露日期设置为60-90天,如果在此期间收到回复,双方可以就余下流程对更改披露日期进行更改并达成一致。
提供细节
在首次收到回复以后,就需要向可能受到漏洞影响的各方披露漏洞细节,包括影响产生的原因和拟定的修复对策,在首次建立联系以后,需要在收到回复的两个工作日内提供所有有关漏洞的技术细节。
您的报告应包括:
· 发送给维护者的PGP加密电子邮件
· 对疑似漏洞进行说明
· 还原漏洞产生过程
· 您的电子邮件地址和安全的联系方式
· 您的姓名/或您看好的同事
· 可选择是否附上修补程序和/或解决漏洞的建议
设置日期
在向相关项目披露了漏洞细节以后,双方应该就更新发布日期和漏洞细节公布日期达成一致,就算只是很小的更改,也需要在细节披露以后的一定时间内给出回应——大约30天至60天,如果涉及重大投资问题则日期可以延长至90天。
参与披露的各方需要对协商的公布日期有一个预期,即使最后这些相关项目不受漏洞威胁。
由各个组织自行判断漏洞可能给自己带来的影响,并对漏洞进行评估,一般来说,消费漏洞(spend bugs)会被视作优先级,用户失去对其资金的访问权正是该标准要解决的首要问题。
由每个组织告知用户漏洞的修复情况并将用户群迁移至固定版本。
协调发布
如果标准照常执行,目的是让所有相关组织发布对漏洞的修复程序,在意见达成一致以后对所有漏洞信息进行整合。
但在实践中很难做到如此,有时候会在某一方或多方还没准备好的情况下发布,如果公布漏洞信息不会对自身带来威胁,许多组织并不完全为用户安全考虑。
一旦设定了日期,时间就会变得有点紧张,临近发布日期,不论修复情况和用户采用率如何,所有参与方都必须如期公布漏洞信息。
利用开发资源来修复漏洞,能否实现部署与用户实时联系的系统;以及在有时间限制的情况下更新系统取决于每个参与的组织。
而在发布时,参与者应重视和谨慎进行修补工作,避免使用代码提交数&拉取请求数过多的语言,或者可以考虑将修复程序嵌入到更新中。
赏金付款
获取漏洞披露信息的受益方可以自行决定是否向披露方支付赏金,但是只限于建立披露关系的各方(或者相关项目),或他们发布的赏金计划(如果有谁参与了赏金计划)。但接受此标准的组织不能强行要求赏金或出售漏洞信息。(参考本文“道德行为”部分)。
致谢
如果提交漏洞的个人或组织希望获得认可,则可以在披露流程完全结束以后申请,由每个参与团队自行决定,对披露漏洞的个人或组织进行贡献排名。
原文:E:\火车浏览器\\pic\\Responsible-Disclosure
稿源(译):https://first.vip/shareNews?id=1810&uid=1
- 免责声明
- 世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
- 风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
- 世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。