Аюулгүй байдлын төлөөх бидний амлалт

MoneyLead нь аюулгүй байдалд нухацтай ханддаг. Бид хэрэглэгчдийг хамгаалах, системээ сайжруулахад тусалдаг аюулгүй байдлын судлаачдын ажилд талархаж байна. Энэ хуудсанд манай аюулгүй байдлын эмзэг байдлыг ил болгох бодлого, аюулгүй байдлын асуудлыг хэрхэн хариуцлагатай мэдээлэх талаар тусгасан болно.

Хамрах хүрээ

Хамрах хүрээнд:

  • moneylead.gg болон бүх дэд домайнууд
  • Олон нийтэд зориулсан бүх вэб програмууд
  • Бүх API төгсгөлийн цэгүүд
  • Баталгаажуулалт ба зөвшөөрлийн механизмууд
  • Мэдээлэл хадгалах, дамжуулах аюулгүй байдал

Хамрах хүрээнээс гадуур:

  • Нийгмийн инженерийн халдлага
  • Бие махбодийн аюулгүй байдлын тестүүд
  • Үйлчилгээнээс татгалзах (DoS/DDoS) халдлага
  • Гуравдагч талын үйлчилгээ (GitHub, CDN үйлчилгээ үзүүлэгч гэх мэт)
  • Спам эсвэл сошиал медиа халдлага

Хэрхэн мэдээлэх вэ

Аюулгүй байдлын эмзэг байдлын талаар мэдээлэхдээ:

  1. Тодорхойлолт - Эмзэг байдлын талаар тодорхой тайлбар
  2. Үржүүлэх алхамууд - Асуудлыг хуулбарлах нарийвчилсан алхмууд
  3. Үр нөлөө - Аюулгүй байдлын болзошгүй нөлөөлөл ба нөлөөлөлд өртсөн хэрэглэгчид
  4. Үзэл баримтлалын баталгаа - Аливаа PoC код эсвэл дэлгэцийн агшин
  5. Байгаль орчны - Хөтөч, үйлдлийн систем болон бусад холбогдох дэлгэрэнгүй мэдээлэл
  6. Таны холбоо барих мэдээлэл - Бид тантай хэрхэн холбогдож, хяналт тавих вэ?

Зөвлөгөө: Нууц мэдээлэл авах бол манай PGP түлхүүрийг ашиглан имэйлээ шифрлэнэ үү.

Хариу өгөх цагийн хуваарь

1️⃣ Анхны хариу - Тайлан илгээснээс хойш 48 цагийн дотор
2️⃣ Статусын шинэчлэлт - Туршилтын үр дүн гарвал 7 хоногийн дотор
3️⃣ Шийдвэрлэх хугацаа - Хүнд байдлаас шалтгаална (гурвалтын дараа мэдэгдэнэ)
4️⃣ Тодруулга - Засвар хийсний дараа зохицуулалттай ил тод мэдээлнэ

Аюулгүй боомт

Энэхүү бодлогын дагуу хийгдсэн аюулгүй байдлын судалгааг бид дараахь зүйл гэж үзэж байна.

  • Эрх бүхий холбогдох хууль тогтоомжийн дагуу
  • Чөлөөлөгдсөн судалгаанд саад учруулах үйлчилгээний нөхцөлийн хязгаарлалтаас
  • Хууль ёсны мөн манай системийн аюулгүй байдалд тустай

Бид хуулийн дагуу арга хэмжээ авахгүй судлаачдын эсрэг:

  • Хувийн нууцыг зөрчих, саад учруулахаас зайлсхийхийн тулд сайн санааны хүчин чармайлт гарга
  • Зөвхөн өөрийн эзэмшдэг акаунтуудтай эсвэл тодорхой зөвшөөрөлтэйгээр харилцах
  • Үзэл баримтлалыг нотлохоос хэтэрсэн эмзэг байдлыг бүү ашигла
  • Эмзэг байдлын талаар яаралтай мэдээлэх
  • Бид тэдгээрийг шийдвэрлэх хүртэл эмзэг байдлын дэлгэрэнгүй мэдээллийг нууцал

Encryption

Эмзэг байдлын талаар найдвартай харилцахын тулд манай PGP нийтийн түлхүүрийг ашиглан мессежээ шифрлэнэ үү:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Бидний гол мэдээлэл:

  • Санал авах RSA 4096-бит
  • Хурууны хээ: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9МЭӨ
  • Хугацаа дуусах хугацаа: 2027-10-14

Security.txt

Бид дараахь зүйлийг дагаж мөрддөг RFC 9116 аюулгүй байдлын стандарт.txt. Та манай машинд унших боломжтой аюулгүй байдлын бодлогыг дараах хаягаас олж болно:

https://moneylead.gg/.well-known/security.txt

(PGP гарын үсэг зурж, RFC 9116-д нийцсэн)

Талархал

Бид өөрсдийн аюулгүй байдлыг сайжруулахад тусалдаг аюулгүй байдлын судлаачдыг хүлээн зөвшөөрнө гэдэгт итгэдэг. Эмзэг байдлыг хариуцлагатайгаар илчлэх судлаачид дараахь байж болно.

  • Манай вэбсайт дээр олон нийтэд хүлээн зөвшөөрөгдсөн (зөвшөөрөлтэй)
  • Манай хамгаалалтын алдрын танхимд нэмэгдсэн
  • Шагнал эсвэл бусад хүлээн зөвшөөрөлтөөр хангагдсан

Тэмдэглэл: Бид одоогоор алдааны урамшууллын хөтөлбөрийг санал болгодоггүй ч хариуцлагатай тодруулсанд гүнээ талархаж, таны оруулсан хувь нэмрийг хүлээн зөвшөөрөх болно.