С того момента, когда компания EOS запустила свою бонусную программу, в которой за нахождение опасных уязвимостей в коде в начале прошлого месяца, команда разработчиков исправил 42 из них в своем рабочем ПО и передала $348000 в награду энтузиастам, которые указали на баги.
Для того, чтобы исправлять ошибки в коде, компания присоединилась к HackerOne — платформе, которая выступает в роли принтера для глобального сообщества экспертов и хакеров.
Это решение было принято после того, как китайская фирма по безопасности заявила, что обнаружила «критические уязвимости» на площадке. Тем не менее, EOS назвала отчет фирмы «FUD» или распространением ложных сведений, и сообщила, что большинство зарегистрированных багов уже были исправлены.
Баги EOS, за которые полагается вознаграждение, должны быть связаны с одним из следующих процессов:
- Причина, по которой ноды разрушаются через P2P-плагины;
- Причина, почему ноды не работают в HTTP RPC API;
- Почему контракты при отправке попадают в бесконечный цикл;
- По какой причине контракт использует слишком большой ресурс памяти (больше, чем 64 МБ);
- Сбой нод с конкретными контрактами;
- Запуск неутвержденных шагов по учетным записям;
- Работа контрактов, превышающая дедлайн более чем на 10 мс.
В случае, если пользователь поставит под сомнение исправность работы определенного процесса, чтобы сообщить о ней команде, необходимо включить следующие данные:
- Актив — указать, с каким из активов программы связана проблема (к примеру, главное ПО EOSIO/eosjs);
- Тяжесть проблемы. Мнение пользователя о том, насколько серьезной является ошибка (Высокий уровень, средний, низкий);
- Резюмирование бага. Необходимо добавить информацию о характере вопроса;
- Описать уязвимость. Нужны любые дополнительные данные по теме;
- Шаги — последовательность действий, которые поспособствуют решению;
- Вспомогательные данные/ссылки — Исходный код для воспроизведения, кроме того, скриншоты или другие доказательства;
- Как воздействовать на поставленную уязвимость. Уровень ущерба безопасности, которого могут достичь при атаке;
- Имя и страна отправителя.