Version 5 (modified by ccidadaouser, 9 years ago)

--

Regulamento para a recompensa de detecção de vulnerabilidades

1. O prémio é no valor de 1.000 (mil) euros e será atribuído à primeira comunicação de um bug crítico de segurança na versão 2 Beta do middleware do Cartão do Cidadão.

2. O prémio é atribuído pela Caixa Mágica Software e Mr.Net como forma de motivação para a análise e controlo do código-fonte por parte da Comunidade.

3. Entende-se por Falha Crítica de Segurança uma falha que ponha em causa uma das funções básicas do sistema de certificados digital: assinatura / autenticação e encriptação. A falha terá de ter um vector de ataque exequível, isto é, ser passível de ser explorada por terceiros, utilizando tecnologia actual, com vista à apropriação indevida de identidade ou dados encriptados.

4. Entende-se por middleware do Cartão do Cidadão v2 Beta o software disponibilizado em  http://svn.gov.pt/cartaocidadao/middleware-offline.tar.gz.

5. O código encontra-se sob as várias Licenças Livres em que cada componente está enquadrado (BSD, GPL v2,...), pelo que contribuições (patches) para o middleware são bem-vindas e o crédito das mesmas será reconhecido.

6. A comunicação de falhas de segurança deverá ser feita para: securitycc@…, devendo o tópico da mensagem ser "Comunicação de falha de segurança" e no corpo da mensagem a descrição da falha. A descrição deverá ser explicita e referir qual o vector de ataque em causa. Se possível, deverá incluir código que prove a sua exploração, bem como a descrição das situações em que a mesma pode ocorrer.

7. O prémio será pago contra um documento contabilisticamente válido como recibo verde, acto isolado ou factura.