[Перевод] Поощрение поиска уязвимостей в криптовалюте Dash (с BugCrowd)

image
Являясь успешным проектом цифровой валюты с открытым исходным кодом, Dash несёт ответственность за безопасность. Понимая, что идеал не достижим, очень важно продолжать усердно работать в этом направлении. Известен ряд значительных «багов», которые уже ощутимо повлияли на инвесторов в криптомире: от «августовского бага 2010, когда произошёл взлом протокола Биткойна», что привело к созданию 184 млрд. Биткойнов до бага в «умном контракте» в ETH, что повлекло многомиллионные потери.
Что же касается криптовалюты Dash, здесь дело обстоит так:

Одно очень полезное бюджетное предложение, финансируемое «Сокровищницей» Dash по результатам проведения децентрализованного голосования в системе, направлено на компанию Bugcrowd, которая направит своих «исследователей» на код Dash в следующем году. Эта программа финансирует большую группу белых хакеров, которая будет заниматься анализом кода Dash на предмет наличия любых багов. Вы можете посетить сайт bugcrowd и ознакомиться с процессом.

Программа Dash баг-баунти от BugCrowd
Владелец: jimbursch 3 платежа, общая сумма 990 DASH (добавлено 20 июня 2017)
Результат Голосования: 1165 — За / 132 — Против / 45 — Воздержались dash.org/forum ветка предварительного обсуждения предложения
Программа Dash баг-баунти и её текущий статус на форуме Dash.

image

Я взял интервью у Джима Бурша владельца предложения этого проекта.

Можете ли вы рассказать, как у вас родилась идея проекта? Вы работали над подобной программой раньше?


Как веб-разработчик, который работает с криптовалютой над своим собственным проектом Dash Messaging, я нахожусь всегда в курсе дел и даже немного параноик, когда дело касается безопасности приложений. Каждый проект в этом пространстве выигрывает, когда другие разработчики изучают код, а программа баг-баунти — отличный способ мотивировать разработчиков на нахождение ошибок в коде.

Поскольку у Dash есть этот уникальный механизм финансирования (бюджетная система), делом времени было появление хорошей программы по поиску багов. У меня не было никакого опыта работы с баунти-программами. Когда у меня появилась эта идея мне пришлось провести некоторое исследование, прежде чем я создал это предложение. Быстро я осознал, что нужно не просто объявить, что вы готовы оплатить поиск багов. Необходимо создать систему для связи с хакерами, определить масштаб действия программы, распределять отчёты, которые будут предоставлены, оценить приоритет и серьёзность бага или уязвимости и привязать платёжную систему.

Мои исследования привели меня к нескольким ведущим компаниям, которые создали платформы для запуска успешных баунти-программ, одной из них и является компания Bugcrowd.

Что нужно, чтобы выбрать исполнителя и выяснить, как превратить ожидания Dash и исполнителя в надёжный проект?


Поскольку мы имеем дело с совершенно новыми концепциями и организацией (криптовалюты и ДАО), мне нужен был гибкий и перспективный исполнитель. Я придерживался принципа, что продавец должен получать оплату в Dash, а не в традиционной валюте, такой как доллар. Dash — валюта, поэтому мы должны использовать её как валюту. Это стало немного проблематично для некоторых исполнителей, которым пришлось пересмотреть такой формат со своими бухгалтерскими и юридическими отделами. Для Bugcrowd с самого начала это не стало проблемой.

Можете ли вы вкратце объяснить, как работает этот процесс? Кто занимался поиском багов? Я видел, что у вас была хорошая поддержка Энди Фрира (Технический директор Dash) и этот факт важен.


Bugcrowd поддерживает связь с тысячами хакеров/исследователей, так как на протяжении многих лет компания запускала сотни баунти-программ. У них есть онлайн-платформа, где зарегистрированные хакеры могут отправлять отчёты об ошибках/уязвимостях, и где я, как клиент, могу ознакомиться со всем процессом. Поскольку мы запускаем полностью управляемую программу с Bugcrowd, все отчёты проверяются командой Bugcrowd с целью определения приоритета и серьёзности бага. Чтобы дать вам представление о том, что это такое, взгляните на их Классификацию оценки уязвимостей.

После того как отчёт обработан специалистом Bugcrowd и получил оценку P1-P5, я просматриваю отчёт и делаю окончательное решение о выплате. Затем я отправляю отчёт непосредственно члену команды Dash, а также добавляю его на GitHub, если информацию, приведённую в нём можно раскрывать.

Мы также производим баунти-выплаты за рамками Bugcrowd платформы. Например, мы сделали выплаты двум разработчикам, обнаружившим баг, который повлёк временное отключение функции InstantSend.

Теперь, когда программа запущена и работает, что вы видите ценного для Dash?


Программа Dash баг-баунти очень ценна и определённо стоит финансирования. Это очень полезный инструмент для мобилизации сообщества разработчиков/хакеров. Мы можем позволить себе производить щедрые выплаты за качественную работу. Когда кошелёк Dash Copay запустят, он будет включён в программу Dash баг-баунти, которая станет существенным вкладом в укрепление чувства безопасности пользователей при использовании кошелька. В наши дни всё, что способно повысить безопасность, сохранность и конфиденциальность, очень ценно.

Как вы разработали финансовую часть этого проекта?


Я никогда лично не конвертировал Dash в доллары или любые другие фиатные валюты. Если кто-то хочет вести дела со мной, это должно быть в валюте Dash. В противном случае, какой смысл в Dash? В случае с Bugcrowd я порекомендовал им, чтобы они открыли счёт на бирже Kraken, и я отправил платёж в Dash на их Kraken аккаунт. Затем они обменяли средства на доллары США и зачислили деньги на аккаунт программы Dash баг-баунти.

Это определённо серая зона, когда дело доходит до бухгалтерского учёта и налогообложения, просто потому, что всё это совершенно новое. И это понятно. Вот почему моё предложение включало 20%-ное дополнение в случае изменения курса. Цель такого шага — решить проблемы в случае их возникновения.

Лично меня это беспокоит, что другие владельцы Бюджетных предложений Dash говорят об обмене Dash и осуществлении банковских платежей для исполнителей. Наши исполнители — это те, кто стремится работать с Dash. Если они хотят получить наши деньги, они должны получать их в Dash.

Расскажите чем вы занимаетесь?


Я php/mysql разработчик, который более 10 лет работает над тем, чем теперь является Dash Messaging. Я впервые узнал о Биткойне, когда он стоил $100, и переключился на Dash, когда его цена была $50. Я живу в Лос-Анджелесе.

Как вы узнали о криптовалюте вообще и о Dash в частности?


Я узнал о Биткойне из подкаста Planet Money от NPR и выбрал его в качестве подходящей платёжной системы, которая нацелена на конфиденциальность. Я переключился на Dash, когда время подтверждения Биткойна и комиссии выросли, сделав его неудобным платёжным решением. Dash не полностью готов к серьёзным нагрузкам, но он находится на верном пути и скоро сможет стать полноценной платёжной системой.

Заключение


Джим отлично высказался в своём предложении:

Dash может и должен иметь лучшую финансируемую программу для поиска багов среди всех криптовалют. С помощью надёжной программы выявления багов Dash может справедливо соответствовать следующим утверждениям:

  • Код Dash является самым безопасным, потому что мы предлагаем самые высокие награды квалифицированным разработчикам по анализу кода инфраструктуры.
  • Dash является самым безопасным, поскольку хакеры (белые/серые/чёрные) мотивированы на выявление багов безопасным путём, вместо использования или продажи обнаруженных возможностей для взлома.

© Habrahabr.ru