Политика раскрытия уязвимостей FRB

Цель этой политики

FRB полагается на исследовательское сообщество, чтобы обеспечить безопасность нашего стека выполнения. В этой политике объясняется, как сообщать об уязвимостях, какие системы находятся под угрозой и чего вы можете от нас ожидать. К исследователям, которые следуют этим рекомендациям, относятся как к партнерам, а не противникам, и каждое раскрытие уязвимости FRB обрабатывается в соответствии с тем же соглашением об уровне обслуживания, которое мы обещаем клиентам.

Ответственное раскрытие информации помогает защитить трейдеров MEV, валидаторов и нижестоящую инфраструктуру. Спасибо, что помогаете нам поддерживать безопасность экосистемы.

Системы в объеме

Настоящий полис распространяется на следующие активы:

• ai-frb.com, документы и связанные с ними маркетинговые ресурсы.
• Конвейер доставки установщика, конечные точки обновления и артефакты выпуска.
• API-интерфейсы конфигурации Relay/Jito, сборщики телеметрии и порталы аутентифицированных операторов.

Тестирование инфраструктуры, принадлежащей клиентам, партнерам или поставщикам облачных услуг, также должно следовать их правилам.

Вне сферы применения и безопасное поведение

Следующие действия запрещены, даже если они выявляют слабость:

• Доступ, изменение или удаление данных клиента без явного разрешения.
• Выполнение атак, влияющих на доступность услуг для других пользователей.
• Фишинг сотрудников ФРБ или партнеров по социальной инженерии.
• Использование автоматических сканеров, генерирующих чрезмерный трафик.

Не используйте уязвимость сверх того, что необходимо для демонстрации воздействия, и никогда не задействуйте реальные средства или кошельки.

Юридические ограничения и границы тестирования

Мы будем работать с вами, чтобы понять каждую находку, пока она остается в рамках — нашей общедоступной собственности и агента FRB. Физические объекты, партнерские системы и несвязанные активы остаются под запретом, поэтому не возникает путаницы в отношении воздействия, и персонал FRB не будет возбуждать судебные иски, связанные с вашими исследованиями, если вы будете следовать этим правилам.

• Никогда не компрометируйте и не похищайте данные, не ухудшайте удобство работы пользователей и не получайте доступ к конфиденциальной информации или коммерческой тайне.
• Следите за тем, чтобы доказательства соответствовали степени, необходимой для подтверждения наличия уязвимости — избегайте нарушений конфиденциальности и прекращайте работу, как только будет продемонстрировано воздействие.
• Не запускайте тесты на отказ в обслуживании (DoS или DDoS) в сети или попытки рассылки спама; тестирование доступности выходит за рамки.
• Не связывайтесь с сторонними организациями и не возбуждайте судебных исков, связанных с вашим исследованием; координируйте все через FRB, чтобы нужный персонал оставался вовлеченным.
• Используйте любые предложения в защитных целях только для смягчения или устранения уязвимостей; разрушительные выпуски для проверки концепции наносят ущерб экосистеме.
• Никогда не занимайтесь расширением масштабов исследования, уничтожением или манипулированием данными сверх того, что требуется для подтверждения результатов.

Если вам нужны зашифрованные каналы, запросите наш ключ PGP через Поддержка/Соглашение об уровне обслуживания и отправлять туда журналы — мы будем поддерживать все в соответствии с объемом, необходимым для подтверждения наличия уязвимости во время ее устранения.

Руководящие принципы ответственного раскрытия информации

Чтобы сохранить хорошую репутацию, пожалуйста:

• Прекратите тестирование сразу после подтверждения проблемы.
• Сохраняйте конфиденциальность сведений об уязвимостях до тех пор, пока FRB не решит проблему.
• Используйте только сгенерированные вами данные; не похищайте производственные данные.
• Соблюдайте местные законы и соблюдайте любые договорные обязательства, которые могут у вас возникнуть.

Мы предлагаем безопасную гавань для добросовестного тестирования, которое соответствует этим рекомендациям.

Как сообщить безопасно

Следуйте этим рекомендациям, чтобы обеспечить безопасность конфиденциальных данных, пока мы рассматриваем ваше сообщение об уязвимости FRB:

• Используйте наш ключ PGP (запросите его через поддерживать), прежде чем делиться журналами или метаданными кошелька.
• Отправляйте большие полезные данные через защищенный файловый портал, а не через вложения электронной почты.
• Предоставляйте Сигнал или телефонный контакт только в том случае, если требуется координация в режиме реального времени; в противном случае электронная почта предпочтительна.

Что включить

1. Среда (версия ОС, хэш сборки FRB, используемый реле).
2. Точные этапы воспроизведения и результаты проверки концепции.
3. Оценка воздействия (например, RCE, раскрытие данных, DoS) плюс предполагаемая серьезность.
4. Любые меры по устранению или временные обходные пути, обнаруженные во время тестирования.
5. Предпочтительный график раскрытия информации и имя/ник для указания авторства (необязательно).

Если возможно, шифруйте конфиденциальные полезные данные и делитесь журналами или снимками экрана, чтобы ускорить сортировку.

Чего вы можете ожидать от нас

1. Подтвердите получение в течение 48 часов.
2. Обеспечьте сортировку по степени серьезности и последующие действия в течение пяти рабочих дней.
3. Совместно согласовывайте сроки устранения нарушений и запрашивайте координацию раскрытия информации.
4. Поделитесь кредитом (при желании) после того, как исправление будет развернуто и пользователи будут защищены.

Мы верим в добросовестное сотрудничество. Пожалуйста, зашифруйте конфиденциальные отчеты, если это возможно; наш ключ PGP доступен по запросу.

Сортировка и исправление

Инженеры по обеспечению безопасности связываются с владельцем сервиса, проверяют использование уязвимостей и назначают работы по исправлению. Критические проблемы могут привести к необходимости установки исправлений или окон скоординированного развертывания; ошибки более низкой степени серьезности попадают в еженедельную цепочку выпусков. Обратитесь к обзор безопасности для описания наших слоев управления.

Мы будем держать вас в курсе по мере развития проблемы посредством исправления, проверки и выпуска, особенно если нам понадобится дополнительная информация.

Координация и последующие шаги

Как только исправление будет запущено, мы подтвердим исправление с вами, обсудим сроки раскрытия информации и, если применимо, поделимся CVE или рекомендательными ссылками. Последующие действия, не связанные с безопасностью (выставление счетов, юридические изменения или изменения в учетной записи), должны пройти через команда поддержки поэтому нужные люди остаются вовлеченными.

На вопросы об обработке данных, связанных с вашим отчетом, можно ответить через наш политика конфиденциальности.