尊敬的全球Biconomy用戶:
為了確保Biconomy平台上的使用者資產的安全、穩定和保護,我們制定了Biconomy外部威脅情報處理標準,以確保所有與安全相關的情報都得到及時處理和專業管理。鼓勵使用者、研究人員和安全專業人員仔細閱讀以下指南並嚴格遵守相關規定。
適用範圍
此流程適用於Biconomy 安全緊急應變中心(BSRC)(support@biconomy.com )收到的所有外部威脅情報,包括但不限於平台漏洞、攻擊活動、潛在的安全風險等。
基本原則
1. Biconomy 高度重視平台安全,承諾對所有報告的安全問題進行跟進、分析、修復和及時回應。
2、我們支持負責任的漏洞揭露,並獎勵那些秉持白帽道德、保護用戶利益、幫助提升Biconomy安全品質的研究人員。
3. Biconomy嚴厲譴責任何濫用漏洞測試進行破壞性目的的行為,包括但不限於:
• 未經授權存取使用者隱私或數位資產
• 入侵平台系統
• 利用或傳播漏洞以達到惡意目的
4.我們反對任何利用安全漏洞進行敲詐、勒索或攻擊競爭對手的行為,並將採取法律行動追究違法者的責任。
5.安全管理需要協作,我們鼓勵與企業、安全公司、研究機構等合作,促進Web3安全生態的穩定。
威脅情報上報及處理流程
1. 報告階段
威脅情報報告者可以透過Biconomy 的威脅情報報告信箱 ( support@biconomy.com )提交安全情報。請提供詳細信息,包括但不限於:
•漏洞描述
•攻擊方法
•影響範圍
•概念驗證 (PoC) 程式碼
•可能的修復建議
2. 處理階段
• 在1 個工作天內,Biconomy 安全緊急應變中心 (BSRC)將確認收到並啟動評估流程(狀態:審核中)。
• 3 個工作天內,BSRC 將驗證漏洞、評估風險並決定解決方案(狀態:已確認/已忽略)。
• 如有必要,Biconomy可能會與檢舉人溝通確認,並鼓勵檢舉人積極配合。
3. 固定階段
•業務部門將致力於修復漏洞並發布安全性更新(狀態:已修復)。
•修復時間表取決於問題的嚴重程度:
•嚴重/高風險漏洞: 24 小時內修復
•中度風險漏洞: 3 個工作天內修復
•低風險漏洞: 7 個工作天內修復
•客戶端安全問題:根據發布週期,修復時間有所不同。
•威脅情報報告者將驗證問題是否已解決(狀態:已驗證/已提出爭議)。
4. 完成階段
•每月第一周,Biconomy 將發布安全公告,總結上個月的報告,感謝貢獻者,並列出已解決的問題。
•將在專門的安全公告中解決嚴重漏洞,以告知使用者必要的預防措施。
•貢獻者將獲得安全點數,可以兌換獎勵(例如,安全代幣、現金獎勵等)。
•將定期舉辦獎勵計劃和線下證券交換活動。
威脅情報評分標準
Biconomy 優先考慮影響其業務營運的漏洞和安全情報。評分標準如下:
5. 業務漏洞評分
| 漏洞等級 | 分數範圍 | 獎勵(安全代幣) | 漏洞範例 |
| 批判的 | 9月10日 | 1080-1200 | 伺服器權限提升、遠端程式碼執行、SQL注入、身份驗證繞過等。 |
| 高的 | 6月8日 | 360-480 | 竊取使用者識別資訊、存取敏感管理面板、XSS 漏洞、核心程式碼執行等。 |
| 中等的 | 3月5日 | 45-75 | 反射型XSS、CSRF、應用層DoS、一般資訊外洩等。 |
| 低的 | 1月2日 | 9月18日 | 低影響的 XSS、路徑外洩、重定向漏洞等。 |
| 沒有任何 | 0 | 0 | 沒有實際可利用性的漏洞、已知漏洞、自動掃描器的無效報告等。 |
爭議解決
如果記者不同意:
•漏洞評估
•評分標準
•獎勵金額
他們可以聯絡 Biconomy 安全緊急應變中心(BSRC)進行討論。
Biconomy優先保障貢獻者權利,若發生糾紛可諮詢第三方安全專家進行仲裁。
常見問題 (FAQ)
Q:Biconomy 會公開披露漏洞詳細資訊嗎?
答:為了保護使用者安全,Biconomy在修復前不會透露任何漏洞細節。
一旦修復,貢獻者可以發布自己的漏洞報告,Biconomy 鼓勵技術共享。然而,修復之前預先披露是嚴格禁止的。
Q:Biconomy 會忽略漏洞並秘密修復它嗎?
答:絕對不是。
•所有被忽略的漏洞都會附有解釋(例如,影響小、誤報等)。
• 如果問題是由於業務邏輯改變而導致的,產品團隊將決定是否修復它,但不會掩蓋任何安全問題。
最後條款
•本政策適用於Biconomy平台上所有安全問題處理。
• Biconomy 保留隨時修改本政策的權利,最新版本將在官方網站上公佈。
•繼續提交情報,您自動同意本政策的最新版本。
提醒: Biconomy 歡迎負責任的安全研究,但嚴禁惡意利用漏洞!