보안
취약점 보고
취약점을 보고하기 위해 공개 GitHub Issue를 열지 마십시오.
대신 [email protected]으로 이메일을 보내주십시오.
24-48시간 내에 응답을 받아야 합니다. 어떤 이유로든 응답을 받지 못한 경우, 원래 메시지를 받았는지 확인하기 위해 이메일로 후속 조치를 취하십시오.
가능한 문제의 성격과 범위를 더 잘 이해하는 데 도움이 되도록 아래에 요청된 정보(가능한 한 많이 제공)를 포함하십시오:
- 이슈 유형 (예: 버퍼 오버플로, 소유권 확인 누락, 크로스 사이트 스크립팅 등)
- 이슈의 발현과 관련된 소스 파일의 전체 경로
- 영향을 받는 소스 코드의 위치 (태그/브랜치/커밋 또는 직접 URL)
- 이슈를 재현하는 데 필요한 특별한 구성
- 이슈를 재현하기 위한 단계별 지침
- 개념 증명 또는 익스플로잇 코드 (가능한 경우)
- 공격자가 이슈를 악용하는 방법을 포함한 이슈의 영향
이 정보는 귀하의 보고서를 더 빠르게 분류하는 데 도움이 됩니다.
또한 보상금을 받을 자격이 있을 수 있습니다. 자세한 내용은 여기에서 확인할 수 있습니다.
감사
정기적인 자동 및 수동 보안 감사는 감사 파트너인 Sec3, Accretion, OtterSec에 의해 정기적으로 수행됩니다.
자동 감사는 모든 PR에 대해 수행되며 메인 브랜치에 병합하기 전에 보안 이슈를 해결해야 합니다. 지속적인 수동 감사는 특정 임계값 이상의 변경 사항에 대해 시작되며 메인 브랜치에 병합하기 전에 보안 이슈를 해결해야 합니다.
OShield (이전 MadShield)는 많은 역사적 감사를 담당하고 있습니다.
아래에 자세히 설명된 대로 코드 또는 기능에 큰 변경 사항이 있을 때도 대규모 일회성 감사가 수행됩니다.
| 프로토콜 | 마지막 주요 일회성 감사 날짜 |
|---|---|
| Core | 2024-05-06 |
| Token Metadata | 2025-01-21 |
| Inscriptions | 2024-01-16 |
| Bubblegum/Compression | 2025-05-12 |
| Trifle/Fusion | 2023-04-13 |
| Candy Machine V3 | 2022-11-01 |
| Candy Machine V2 | 2022-11-01 |
| Auction House | 2022-10-24 |
| Gumdrop | 2022-05-16 |
개발자 도구에 대해서는 감사 파트너가 정기적으로 수행하는 지속적인 자동 또는 수동 보안 감사가 없습니다. 그러나 감사는 제3자 Solana 생태계 개발자 또는 엔터티의 커뮤니티가 자체적으로 주문, 촉진 및 지불할 수 있습니다.
| 개발자 도구 | 마지막 감사 날짜 |
|---|---|
| Sugar CLI* | 2022-08-26 |
(*) OtterSec에서 감사