グローバル・バイコノミーユーザーの皆様へ
Biconomy プラットフォーム上のユーザー資産のセキュリティ、安定性、保護を確保するため、 Biconomy 外部脅威インテリジェンス取り扱い基準を制定し、すべてのセキュリティ関連インテリジェンスが迅速に対処され、専門的に管理されるようにしています。ユーザー、研究者、セキュリティ専門家は、以下のガイドラインを注意深く読み、関連する規制を厳守することをお勧めします。
適用範囲
このプロセスは、プラットフォームの脆弱性、攻撃活動、潜在的なセキュリティ リスクなどを含むがこれらに限定されない、Biconomy セキュリティ緊急対応センター (BSRC) ( support@biconomy.com )が受信したすべての外部脅威インテリジェンスに適用されます。
基本原則
1. Biconomy はプラットフォームのセキュリティを最優先し、報告されたすべてのセキュリティ問題のフォローアップ、分析、修正、迅速な対応に努めます。
2. 当社は責任ある脆弱性開示をサポートし、ホワイトハット倫理を遵守し、ユーザーの利益を保護し、Biconomy のセキュリティ品質の向上に貢献する研究者に報酬を与えます。
3. Biconomy は、以下を含むがこれに限定されない、破壊的な目的での脆弱性テストの悪用を厳しく非難します。
• ユーザーのプライバシーやデジタル資産への不正アクセス
• プラットフォームシステムへのハッキング
• 悪意のある目的で脆弱性を悪用または拡散する
4. 当社は、セキュリティの脆弱性を利用して競合他社を脅迫、脅迫、または攻撃するあらゆる試みに反対し、違反者を責任を問うために法的措置を講じます。
5.セキュリティ管理には連携が必要であり、安定したWeb3セキュリティエコシステムを推進するために、企業、セキュリティ企業、研究機関との協力を奨励します。
脅威インテリジェンスの報告と処理プロセス
1. 報告段階
脅威インテリジェンス レポーターは、Biconomy の脅威インテリジェンス レポート メール ( support@biconomy.com )経由でセキュリティ インテリジェンスを送信できます。以下の情報を含む詳細情報を提供してください(ただし、これらに限定されません)。
•脆弱性の説明
•攻撃方法
•影響範囲
•概念実証(PoC)コード
•修正案の提案
2. ハンドリング段階
• 1 営業日以内に、Biconomy セキュリティ緊急対応センター (BSRC)が受信を確認し、評価プロセスを開始します (ステータス: 審査中)。
• 3 営業日以内に、BSRC は脆弱性を検証し、リスクを評価し、解決計画を決定します (ステータス: 確認済み/無視)。
• 必要に応じて、Biconomy は報告者に確認の連絡をすることがあります。報告者の積極的な協力を推奨します。
3. 固定段階
•ビジネス部門は脆弱性の修正とセキュリティ更新プログラムのリリースに取り組みます (ステータス: 修正済み)。
•修正のタイムラインは問題の重大度によって異なります。
•重大/高リスクの脆弱性: 24時間以内に修正
•中程度のリスクの脆弱性: 3営業日以内に修正
•低リスクの脆弱性: 7営業日以内に修正
•クライアント側のセキュリティ問題: リリース サイクルに応じて、修正時間は異なります。
•脅威インテリジェンス レポーターは、問題が解決されたかどうかを確認します(ステータス: 検証済み/紛争発生)。
4. 完了段階
•毎月第 1 週に、Biconomy は前月のレポートを要約し、貢献者に感謝し、解決された問題をリストしたセキュリティ速報を公開します。
•重大な脆弱性については、専用のセキュリティ発表で対処し、ユーザーに必要な予防措置を通知します。
•貢献者はセキュリティ ポイントを獲得し、報酬(セキュリティ トークン、現金インセンティブなど)と交換できます。
•定期的な報酬プログラムやオフラインのセキュリティ交換イベントが開催されます。
脅威インテリジェンスのスコアリング基準
Biconomy は、ビジネス運営に影響を与える脆弱性とセキュリティ インテリジェンスを優先します。スコアリング基準は次のとおりです。
5. ビジネス脆弱性スコアリング
| 脆弱性レベル | スコア範囲 | 報酬(セキュリティトークン) | 脆弱性の例 |
| 致命的 | 9月10日 | 1080-1200 | サーバー権限の昇格、リモート コード実行、SQL インジェクション、認証バイパスなど。 |
| 高い | 6月8日 | 360-480 | ユーザー ID 情報の盗難、機密管理パネルへのアクセス、XSS 脆弱性、カーネル コードの実行など。 |
| 中くらい | 3月5日 | 45-75 | リフレクション型 XSS、CSRF、アプリケーション層 DoS、一般的な情報漏洩など。 |
| 低い | 1月2日 | 9月18日 | 影響の少ない XSS、パスの開示、リダイレクトの脆弱性など。 |
| なし | 0 | 0 | 実際に悪用される可能性のない脆弱性、既知の脆弱性、自動スキャナーからの無効なレポートなど。 |
紛争解決
記者が以下の点に同意しない場合:
•脆弱性評価
•採点基準
•報酬額
話し合いのために、Biconomy セキュリティ緊急対応センター (BSRC) に連絡することもできます。
Biconomy は貢献者の権利を優先し、紛争が発生した場合には、第三者のセキュリティ専門家に仲裁を依頼する場合があります。
よくある質問(FAQ)
Q: Biconomy は脆弱性の詳細を公開しますか?
A:ユーザーのセキュリティを保護するため、Biconomy は修正が実施されるまで脆弱性の詳細を公開しません。
修正後は、貢献者は独自の脆弱性レポートを公開することができ、Biconomy は技術共有を奨励しています。ただし、修正前の事前開示は固く禁じられています。
Q: Biconomy は脆弱性を無視して秘密裏に修正しますか?
A:絶対に違います。
•無視されたすべての脆弱性には説明が付きます(例:影響度が低い、誤検知など)。
• 問題がビジネス ロジックの変更によって発生した場合、製品チームが修正するかどうかを決定しますが、セキュリティ上の問題は隠されません。
最終条件
•このポリシーは、Biconomy プラットフォーム上のすべてのセキュリティ問題の処理に適用されます。
• Biconomy はいつでもこのポリシーを変更する権利を留保し、最新版は公式ウェブサイトで発表されます。
•引き続き情報を送信することにより、このポリシーの最新バージョンに自動的に同意したことになります。
注意: Biconomy は責任あるセキュリティ研究を歓迎しますが、脆弱性の悪意ある悪用は厳しく禁止しています。