Changes between Version 7 and Version 8 of Regulamento

Show
Ignore:
Timestamp:
03/07/12 19:36:03 (9 years ago)
Author:
vsilva
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • Regulamento

    v7 v8  
    1 == Regulamento para a recompensa de detecção de vulnerabilidades == 
    2  
    3 1. O prémio é no valor de 1.000 (mil) euros e será atribuído à primeira comunicação de um bug crítico de segurança na versão 2 Beta do middleware do Cartão do Cidadão. 
    4  
    5 2. O prémio é atribuído pela Caixa Mágica Software e Mr.Net como forma de motivação para a análise e controlo do código-fonte por parte da Comunidade. 
    6  
    7 3. Entende-se por Falha Crítica de Segurança uma falha que ponha em causa uma das funções básicas do sistema de certificados digital: assinatura / autenticação e encriptação.  
    8 A falha terá de ter um vector de ataque exequível, isto é, ser passível de ser explorada por terceiros, utilizando tecnologia actual, com vista à apropriação indevida de identidade ou dados encriptados. 
    9  
    10 4. Entende-se por middleware do Cartão do Cidadão v2 Beta o software disponibilizado em http://svn.gov.pt/projects/ccidadao/repository/middleware-offline/tags/beta1/ . 
    11  
    12 5. O código encontra-se sob as várias Licenças Livres em que cada componente está enquadrado (BSD, GPL v2,...), pelo que contribuições (patches) para o middleware são bem-vindas e o crédito das mesmas será reconhecido. 
    13  
    14 6. A comunicação de falhas de segurança deverá ser feita para: securitycc(at)caixamagica.pt, devendo o tópico da mensagem ser "Comunicação de falha de segurança" e no corpo da mensagem a descrição da falha. A descrição deverá ser explicita e referir qual o vector de ataque em causa. Se possível, deverá incluir código que prove a sua exploração, bem como a descrição das situações em que a mesma pode ocorrer. 
    15  
    16 7. O prémio será pago contra um documento contabilisticamente válido como recibo verde, acto isolado ou factura.