Changes between Version 1 and Version 2 of Regulamento

Show
Ignore:
Timestamp:
11/10/11 12:39:14 (9 years ago)
Author:
ccidadaouser
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • Regulamento

    v1 v2  
    11== Regulamento para a recompensa de detecção de vulnerabilidades == 
     2 
     31. O prémio é no valor de 1.000 (mil) euros e será atribuído à primeira comunicação de um bug crítico de segurança na versão 2 Beta do middleware do Cartão do Cidadão. 
     4 
     52. O prémio é atribuído pela Caixa Mágica Software e MrNet como forma de motivação para a análise e controlo do código-fonte por parte da Comunidade. 
     6 
     73. Entende-se por Falha Crítica de Segurança uma falha que ponha em causa uma das funções básicas do sistema de certificados digital: assinatura / autenticação e encriptação.  
     8A falha terá de ter um vector de ataque exequível, isto é, ser passível de ser explorada por terceiros, utilizando tecnologia actual, com vista à apropriação indevida de identidade ou dados encriptados. 
     9 
     104. Entende-se por middleware do Cartão do Cidadão v2 Beta o software disponibilizado em http://svn.gov.pt/cartaocidadao/middleware-offline.tar.gz. 
     11 
     125. O código encontra-se sob Licença Livre (GPL v2), pelo que contribuições (patches) para o middleware são bem-vindas e o crédito das mesmas será reconhecido. 
     13 
     146. A comunicação de falhas de segurança deverá ser feita para: securitycc@caixamagica.pt, devendo o tópico da mensagem ser "Comunicação de falha de segurança" e no corpo da mensagem a descrição da falha. A descrição deverá ser explicita e referir qual o vector de ataque em causa. Se possível, deverá incluir código que prove a sua exploração, bem como a descrição das situações em que a mesma pode ocorrer.