버그 바운티 프로그램
Last updated
Last updated
디카르고 버그 바운티 프로그램은 테스트넷 및 메인넷의 보안성과 안정성 강화를 목적으로 운영됩니다. 본 문서에서는 프로그램의 목적, 평가 기준, 보상 체계 및 제출 프로세스를 설명합니다.
Critical (심각)
시스템 핵심 기능 무력화 및 악용될 가능성이 있는 취약점
네트워크 중단, 자산 탈취, 주요 데이터 변조와 같은 심각한 보안 위협이 있는 취약점
$2,000
High (높음)
서비스 기능에 영향을 미칠 수 있는 취약점
데이터 조작, API 보안 결함, Faucet 시스템 악용 가능성
서비스 운영에 직접적인 영향을 줄 수 있는 버그
$700
Medium (보통)
특정 기능이 의도한 대로 동작하지 않거나 사용자 경험에 부정적인 영향을 줄 수 있는 취약점
노드 실행 오류, Docs 내 기술적 오류, 입/출금 오류
$200
Low (낮음)
시스템의 보안에는 영향을 미치지 않지만 UI/UX, 오탈자, 시각적 오류, 프로세스 흐름 결함 등 사소한 버그 포함
서비스 전반의 품질 개선이 필요한 내용
$25
다음 조건을 충족하는 경우 버그 신고가 인정됩니다.
L3 메인넷의 정상적인 운영 환경과 기본 설정에서 실제 사용자나 공격자가 악용할 수 있는 문제여야 합니다.
재현 가능하고 객관적으로 검증될 수 있어야 하며, 시스템의 보안이나 신뢰성을 위협하는 경우 적격한 버그로 인정됩니다.
단순히 시스템을 오작동하게 만들 수 있는 로직 상의 결함은 DDoS에 준하는 문제로, 악용 경로가 명확할 경우 적격 버그로 인정될 수 있습니다.
문제가 단일 노드, 클라이언트, 또는 전체 네트워크에서 발생하더라도, 그 영향이 명확해야 하며 실제 운영 환경에서 발생할 수 있는 위협 시나리오가 수반되어야 합니다.
최신 릴리스 혹은 문서에 존재하는 기술적 결함이나 구성상의 오류는 영향도에 따라 적격성 여부가 판단됩니다.
다음 항목은 버그 신고에서 제외됩니다.
물리적 접근이 필요한 공격, 대량의 트래픽으로 시스템 자원을 소진시키는 DDoS 공격 등은 일반적인 소프트웨어 취약점의 범주에서 벗어나므로 버그바운티 대상에서 제외됩니다.
단계별 지침, 재현 가능한 예시, 개념 증명 등 세부 정보가 충분하지 않은 경우 버그바운티 대상에서 제외됩니다.
오래되었거나 지원이 종료된 브라우저에서만 발생하는 문제, 이미 공개적으로 알려진 취약점, 또는 팀 내부적으로 인지하고 있는 문제가 중복 보고된 경우 역시 보상의 대상이 아닙니다.
사용자 개입이 과도하게 필요한 취약점(예: 복잡한 단계의 조작이 요구되는 버그), 단순한 보안 구성 제안 또는 우수 사례 수준의 제안, 개념 증명이 없는 이론적 보고 역시 부적격한 항목으로 간주됩니다.
장애는 버그 리포트에 포함되지 않습니다. 장애란 시스템 전체 또는 주요 기능이 일시적으로 작동하지 않는 상태로, 다수의 사용자가 동시에 영향을 받는 문제입니다. 이는 개발자나 보안 전문가가 제어할 수 없는 외부 요인(예: 서버 다운, 네트워크 문제)으로 인해 발생할 수 있습니다.
지정된 양식은 존재하지 않지만, 다음의 내용은 반드시 포함되어야 합니다.
버그 제목
버그를 간단히 설명하는 제목
버그 설명
버그의 상세 설명. 어떤 문제가 발생했는지, 어떤 영향을 미치는지 가능한 구체적으로 작성
단계 별 재현 방식
버그를 재현할 수 있는 방식을 단계별로 설명
환경 설정 및 방식 등 가능한 구체적으로 작성
영향
버그가 시스템에 미치는 영향
심각도
심각도 등급 (Critical, High, Medium, Low)
자료
버그를 증명할 수 있는 자료 (스크릿샷, 비디오)
해당 내용을 포함한 문서를 hello@dkargo.io 로 전송해주세요.