글로벌 바이코노미 사용자 여러분,
Biconomy 플랫폼에서 사용자 자산의 보안, 안정성 및 보호를 보장하기 위해 모든 보안 관련 인텔리전스가 즉시 처리되고 전문적으로 관리 되도록 Biconomy 외부 위협 인텔리전스 처리 표준을 수립했습니다 . 사용자, 연구자 및 보안 전문가는 다음 지침을 주의 깊게 읽고 관련 규정을 엄격히 준수하도록 권장됩니다.
적용범위
이 프로세스는 플랫폼 취약성, 공격 활동, 잠재적 보안 위험을 포함하되 이에 국한되지 않고 Biconomy Security Emergency Response Center(BSRC)( support@biconomy.com ) 에서 수신한 모든 외부 위협 인텔리전스 에 적용됩니다 .
기본 원칙
1. Biconomy는 플랫폼 보안을 우선시하며 보고된 모든 보안 문제에 대한 후속 조치, 분석, 수정 및 신속한 대응을 약속합니다.
2. 우리는 책임 있는 취약성 공개를 지지 하고 백모자 윤리를 고수하고 사용자 이익을 보호하며 Biconomy의 보안 품질 개선에 기여하는 연구자들에게 보상을 제공합니다 .
3. Biconomy는 다음을 포함하되 이에 국한되지 않는 파괴적 목적을 위한 취약성 테스트의 모든 오용을 엄격히 비난합니다 .
• 사용자 개인 정보 또는 디지털 자산에 대한 무단 액세스
• 플랫폼 시스템 해킹
• 악의적인 목적으로 취약점을 악용하거나 유포하는 행위
4. 우리는 보안 취약점을 이용해 경쟁사를 협박, 강탈하거나 공격 하려는 모든 시도에 반대하며 , 위반자를 책임지우기 위해 법적 조치를 취할 것입니다 .
5. 보안 관리에는 협업이 필요하며 , 기업, 보안 회사, 연구 기관과의 협력을 장려하여 안정적인 Web3 보안 생태계를 촉진합니다 .
위협 인텔리전스 보고 및 처리 프로세스
1. 보고 단계
위협 정보 보고자는 Biconomy의 위협 정보 보고 이메일( support@biconomy.com ) 을 통해 보안 정보를 제출할 수 있습니다 . 다음을 포함하되 이에 국한되지 않는 자세한 정보를 제공해 주십시오.
• 취약점 설명
• 공격 방법
• 영향 범위
• 개념 증명(PoC) 코드
• 가능한 수정 제안
2. 핸들링 단계
• 1 영업일 이내에 Biconomy Security Emergency Response Center(BSRC)에서 접수 확인을 하고 평가 프로세스를 시작합니다( 상태: 검토 중 ).
• BSRC는 3개 영업일 이내에 취약성을 검증하고 위험을 평가하며 해결 계획을 결정합니다( 상태: 확인/무시 ).
• 필요한 경우 Biconomy는 확인을 위해 보고자와 연락 할 수 있으며 , 보고자의 적극적인 협조를 장려합니다.
3. 고정 단계
• 사업부에서는 취약점을 수정하고 보안 업데이트를 릴리스하기 위해 노력할 것입니다( 상태: 수정됨 ).
• 수정 일정은 문제의 심각도에 따라 달라집니다.
• 중요/고위험 취약점 : 24시간 이내에 수정됨
• 중간 위험 취약점 : 3영업일 이내에 수정됨
• 위험도가 낮은 취약점 : 7일 이내 수정
• 클라이언트 측 보안 문제 : 릴리스 주기에 따라 수정 시간이 다릅니다.
• 위협 인텔리전스 보고자는 문제가 해결되었는지 확인합니다 ( 상태: 검증됨/분쟁 제기됨 ).
4. 완료 단계
• 매월 첫째 주에 Biconomy는 지난달 보고서를 요약하고 기여자에게 감사를 표하며 해결된 문제를 나열하는 보안 게시판을 게시합니다 .
• 중요한 취약점은 전담 보안 공지를 통해 해결되어 사용자에게 필요한 예방 조치를 알립니다.
• 기여자는 보안 포인트를 획득하게 되며 , 이 포인트는 보상(예: 보안 토큰, 현금 인센티브 등) 으로 교환할 수 있습니다 .
• 주기적 보상 프로그램과 오프라인 보안 교환 이벤트가 진행됩니다.
위협 인텔리전스 채점 기준
Biconomy는 비즈니스 운영에 영향을 미치는 취약성 과 보안 인텔리전스를 우선시합니다 . 채점 기준은 다음과 같습니다.
5. 비즈니스 취약성 점수
취약성 수준 | 점수 범위 | 보상(보안 토큰) | 취약점 예 |
비판적인 | 9월 10일 | 1080-1200 | 서버 권한 상승, 원격 코드 실행, SQL 주입, 인증 우회 등. |
높은 | 6월 8일 | 360-480 | 사용자 신원 정보 도용, 중요한 관리자 패널 접근, XSS 취약점, 커널 코드 실행 등 |
중간 | 3월 5일 | 45-75 | 반사형 XSS, CSRF, 애플리케이션 계층 DoS, 일반 정보 유출 등. |
낮은 | 1월 2일 | 9월 18일 | 영향이 적은 XSS, 경로 공개, 리디렉션 취약점 등 |
없음 | 0 | 0 | 실질적으로 악용될 가능성이 없는 취약점, 알려진 취약점, 자동 스캐너의 잘못된 보고서 등. |
분쟁 해결
기자가 동의하지 않는 경우:
• 취약성 평가
• 채점 기준
• 보상금액
논의를 위해 Biconomy 보안 비상 대응 센터(BSRC)에 연락 할 수 있습니다 .
Biconomy는 기여자의 권리를 우선시하며 , 분쟁이 있는 경우 제3자 보안 전문가에게 중재를 의뢰할 수 있습니다 .
자주 묻는 질문(FAQ)
질문: Biconomy는 취약점 세부 정보를 공개적으로 공개할 예정인가요?
답변: 사용자 보안을 위해 Biconomy는 취약점에 대한 수정 사항을 구현하기 전까지는 취약점 세부 정보를 공개 하지 않습니다 .
일단 수정되면 기여자는 자신의 취약성 보고서를 게시할 수 있으며 Biconomy는 기술적 공유를 장려합니다 . 그러나 수정 전 사전 공개는 엄격히 금지됩니다 .
질문: Biconomy는 취약점을 무시 하고 비밀리에 수정할까요?
대답: 전혀 그렇지 않습니다.
• 무시된 모든 취약점에는 설명이 함께 제공 됩니다 (예: 낮은 영향, 거짓 양성 등 ).
• 문제가 비즈니스 로직 변경 으로 인해 발생한 경우 제품 팀에서 이를 수정할지 여부를 결정 하지만 보안 문제는 숨겨지지 않습니다 .
최종 조건
• 이 정책은 Biconomy 플랫폼 의 모든 보안 문제 처리 에 적용됩니다 .
• Biconomy는 언제든지 이 정책을 수정할 권리 가 있으며 , 최신 버전은 공식 웹사이트에 발표됩니다 .
• 계속해서 정보를 제출하면 자동으로 본 정책의 최신 버전에 동의하는 것으로 간주됩니다.
알림: Biconomy는 책임감 있는 보안 연구를 환영 하지만 취약점을 악의적으로 악용하는 것은 엄격히 금지합니다!