セキュリティ
脆弱性の報告
脆弱性を報告するためにパブリックGitHub Issueを開かないでください。
代わりに、[email protected]にメールを送信してください。
24〜48時間以内に返答があるはずです。何らかの理由で返答がない場合は、元のメッセージを受信したことを確認するためにメールでフォローアップしてください。
可能な問題の性質と範囲をより深く理解するために、以下の要求された情報(可能な限り提供してください)を含めてください:
- 問題のタイプ(例:バッファオーバーフロー、所有権チェックの欠如、クロスサイトスクリプティングなど)
- 問題の現れに関連するソースファイルの完全なパス
- 影響を受けるソースコードの場所(タグ/ブランチ/コミットまたは直接URL)
- 問題を再現するために必要な特別な設定
- 問題を再現するための段階的な指示
- 概念実証または悪用コード(可能であれば)
- 攻撃者が問題を悪用する方法を含む、問題の影響
この情報は、レポートをより迅速にトリアージするのに役立ちます。
報奨金の対象となる場合もあります。詳細はこちらで確認できます。
監査
継続的な自動および手動セキュリティ監査は、監査パートナーであるSec3、Accretion、およびOtterSecによって定期的に実行されています。
自動監査はすべてのPRに対して実行され、メインブランチにマージする前にセキュリティ問題を解決する必要があります。継続的な手動監査は特定の閾値を超える変更に対して開始され、メインブランチにマージする前にセキュリティ問題を解決する必要があります。
OShield(旧MadShield)は、私たちの歴史的監査の多くを担当しています。
大規模な1回限りの監査は、以下に詳述されているように、コードや機能に大きな変更がある場合にも実行されます。
| プロトコル | 最後の主要な1回限り監査日 |
|---|---|
| Core | 2024-05-06 |
| Token Metadata | 2025-01-21 |
| Inscriptions | 2024-01-16 |
| Bubblegum/Compression | 2025-05-12 |
| Trifle/Fusion | 2023-04-13 |
| Candy Machine V3 | 2022-11-01 |
| Candy Machine V2 | 2022-11-01 |
| Auction House | 2022-10-24 |
| Gumdrop | 2022-05-16 |
私たちの開発者ツールに対して、監査パートナーによって定期的に実行される継続的な自動・手動セキュリティ監査はありません。ただし、監査は第三者のSolanaエコシステム開発者やエンティティのコミュニティによって独自に注文、促進、および支払いが行われる場合があります。
| 開発者ツール | 最後の監査日 |
|---|---|
| Sugar CLI* | 2022-08-26 |
(*) OtterSecによって監査