我们很高兴地宣布,我们已在 HackerOne 平台启动了公共漏洞赏金计划
此计划有两个目标
- 审查漏洞提交渠道、负责任披露的指南和政策,以及我们这边的资产识别和漏洞处理流程。
- 鼓励研究人员查找 MariaDB 代码中的漏洞,并提供一种机制,按照负责任披露模型激励报告。
目标 1 导致了我们一般漏洞分类流程的变更,该流程在 mariadb.org/about/security-policy/ 有描述。我们现在有两种漏洞,严重和中等严重程度,以及一份政策,应作为报告者和我们团队的指南,以确保适当的漏洞管理。这份政策是完全公开的,并且完全包含在 HackerOne 个人资料页面中。
目标 2 促成了我们在 HackerOne 上的公共漏洞赏金计划。我们希望这能让我们接触到广泛的安全研究人员社区,并帮助我们识别和妥善处理可能影响广大 MariaDB 用户安全的问题。目前我们只提供 HackerOne 的感谢徽章和积分,但我们正在努力,以便在不久的将来能够奖励 MariaDB 纪念品(T恤、贴纸),甚至可能提供现金奖励,尽管考虑到我们的非营利性质,这些奖励更多是象征性的,而非出于经济动机。
我们主要关注 MariaDB 源代码中的漏洞,但是,我们也已将我们的网络资产,例如本网站、我们的 Jira 和持续集成部署等,列为该计划的目标,因为我们认为,信任我们的开放开发模型、社区以及 MariaDB 工作背后的基金会,也至关重要。我们恳请您花时间仔细阅读我们的政策,并认真思考您的提交内容,考虑到 MariaDB 是开源软件,且基金会是非营利组织,因此完全在开放环境中治理和开发。例如,拥有一个公开的问题跟踪器是故意的,不应被视为漏洞(是的,我们确实收到过这样的报告,将 Jira 归类为信息泄露)。在您的安全评估中,请您秉持善意,避免侵犯隐私、破坏数据,以及中断或降级服务(包括拒绝服务),以免影响我们和广大用户。对于 MariaDB 漏洞查找、模糊测试和常规测试,请使用您自己的个人部署。
我们也意识到,并非每个人都想或有时间阅读政策、遵守任何协议或在第三方网站上注册来向我们报告安全漏洞,因此在这种情况下,您仍然可以随时将您的报告发送至security@mariadb.org。但是,我们仍然鼓励您遵循良好的漏洞报告常识,例如详细描述漏洞、提供概念证明,并耐心等待安全问题的整个生命周期,从最初的验证和风险评估,直到解决和公开披露。
祝您漏洞搜寻愉快!