عملية الاستجابة للضعف الأمني

الإبلاغ عن ضعف أمني

اكتشفت مشكلة أمنية؟ قم بالإبلاغ عنها على security@i2p.net (تشجيع استخدام PGP)

تحميل مفتاح PGP | بصمة مفتاح GPG: 40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941

إرشادات البحث

يرجى عدم:

• استغلال شبكة I2P الحية
• القيام بهجمات الهندسة الاجتماعية أو مهاجمة البنية التحتية لـ I2P
• تعطل الخدمات لمستخدمي آخرين

يرجى:

• استخدام شبكات اختبار معزولة عندما يكون ذلك ممكنًا
• اتباع ممارسات الإفصاح المنسق
• الاتصال بنا قبل اختبار الشبكة الحية

عملية الاستجابة

1. استلام التقرير

• الاستجابة خلال 3 أيام عمل
• تعيين مدير الاستجابة
• تصنيف الشدة (عالٍ/متوسط/منخفض)

2. التحقيق والتطوير

• تطوير تصحيح خاص عبر قنوات مشفرة
• الاختبار على شبكة معزولة
• الشدة العالية: إشعار عام خلال 3 أيام (بدون تفاصيل استغلال)

3. الإصدار والإفصاح

• نشر تحديث الأمان
• حد أقصى 90 يومًا للإفصاح الكامل
• خيار منح الفضل للباحث في الإعلانات

مستويات الشدة

عالٍ - تأثير على الشبكة بالكامل، يتطلب اهتمامًا فوريًا
متوسط - يؤثر على أجهزة التوجيه الفردية، استغلال مستهدف
منخفض - تأثير محدود، سيناريوهات نظرية

الاتصالات الآمنة

استخدام تشفير PGP/GPG لجميع تقارير الأمان:

بصمة الإصبع: 40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941

يجب تضمين في تقريرك:

• وصف تقني مفصل
• خطوات الاستنساخ
• كود إثبات المفهوم (إن أمكن)

الجدول الزمني

الأسئلة الشائعة

هل سأواجه مشكلة إذا أبلغت؟ لا. الإفصاح المسؤول محل تقدير وحماية.

هل يمكنني الاختبار على الشبكة الحية؟ لا. استخدام شبكات اختبار معزولة فقط.

هل يمكنني البقاء مجهولاً؟ نعم، على الرغم من أنه قد يعقد التواصل.

هل لديكم مكافأة لاكتشاف الثغرات؟ حاليًا لا. I2P يُدار بواسطة متطوعين وموارده محدودة.

ما يجب الإبلاغ عنه

في النطاق:

• الثغرات في موجه I2P
• العيوب في البروتوكول أو التشفير
• الهجمات على مستوى الشبكة
• تقنيات إلغاء إخفاء الهوية
• قضايا رفض الخدمة

خارج النطاق:

• تطبيقات الطرف الثالث (اتصل بالمطورين)
• الهندسة الاجتماعية أو الهجمات المادية
• الثغرات المعروفة/المكشوفة
• القضايا النظرية البحتة

شكرًا لمساعدتك في الحفاظ على أمان I2P!