🔒

भेद्यता प्रतिक्रिया प्रक्रिया

I2P की सुरक्षा भेद्यता रिपोर्टिंग और प्रतिक्रिया प्रक्रिया

सुरक्षा ईमेल: security@i2p.net
प्रतिक्रिया समय: 3 कार्य दिवसों के भीतर

भेद्यता की रिपोर्ट करें

कोई सुरक्षा मुद्दा खोजा है? इसे security@i2p.net पर रिपोर्ट करें (PGP प्रोत्साहित)

PGP कुंजी डाउनलोड करें | GPG कुंजी फिंगरप्रिंट: 40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941

अनुसंधान दिशा-निर्देश

कृपया ऐसा न करें:

  • सक्रिय I2P नेटवर्क का दुरुपयोग
  • I2P इन्फ्रास्ट्रक्चर पर सोशल इंजीनियरिंग या हमला
  • अन्य उपयोगकर्ताओं के लिए सेवाओं में बाधा डालें

कृपया ऐसा करें:

  • संभव हो तो पृथक टेस्ट नेटवर्क का उपयोग करें
  • समन्वित प्रकटीकरण प्रथाओं का पालन करें
  • लाइव नेटवर्क टेस्टिंग से पहले हमसे संपर्क करें

प्रतिक्रिया प्रक्रिया

1. रिपोर्ट प्राप्त हुई

  • 3 कार्य दिवसों के भीतर प्रतिक्रिया
  • प्रतिक्रिया प्रबंधक नियुक्त
  • गंभीरता वर्गीकरण (उच्च/मध्यम/कम)

2. जांच और विकास

  • गुप्त चैनलों के माध्यम से निजी पैच विकास
  • पृथक नेटवर्क पर परीक्षण
  • उच्च गंभीरता: 3 दिनों के भीतर सार्वजनिक सूचना (कोई शोषण विवरण नहीं)

3. रिलीज़ और प्रकटीकरण

  • सुरक्षा अपडेट तैनात
  • पूर्ण प्रकटीकरण के लिए 90-दिन अधिकतम समयरेखा
  • घोषणाओं में वैकल्पिक शोधकर्ता क्रेडिट

गंभीरता स्तर

उच्च - पूरे नेटवर्क पर प्रभाव, तत्काल ध्यान आवश्यक मध्यम - व्यक्तिगत राउटर, लक्षित शोषण कम - सीमित प्रभाव, सैद्धांतिक परिस्थितियाँ

सुरक्षित संचार

सभी सुरक्षा रिपोर्टों के लिए PGP/GPG एन्क्रिप्शन का उपयोग करें:

फिंगरप्रिंट: 40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941

अपनी रिपोर्ट में शामिल करें:

  • विस्तृत तकनीकी विवरण
  • पुनरुत्पादन के चरण
  • प्रूफ-ऑफ-कॉन्सेप्ट कोड (यदि लागू हो)

समयरेखा

चरणसमयरूप
प्रारंभिक प्रतिक्रिया0-3 दिन
जांच1-2 सप्ताह
विकास और परीक्षण2-6 सप्ताह
रिलीज़6-12 सप्ताह
पूर्ण प्रकटीकरणअधिकतम 90 दिन

अक्सर पूछे जाने वाले प्रश्न

रिपोर्ट करने पर मुझे परेशानी होगी? नहीं। जिम्मेदार प्रकटीकरण की सराहना और सुरक्षा की जाती है।

क्या मैं लाइव नेटवर्क पर परीक्षण कर सकता हूँ? नहीं। केवल पृथक टेस्ट नेटवर्क का उपयोग करें।

क्या मैं गुमनाम रह सकता हूँ? हाँ, हालांकि इससे संचार में जटिलता आ सकती है।

क्या आपके पास बग बाउंटी है? वर्तमान में नहीं। I2P स्वयंसेवक संचालित है और सीमित संसाधनों के साथ है।

क्या रिपोर्ट करें

आवर्त्त के भीतर:

  • I2P राउटर की भेद्यताएँ
  • प्रोटोकॉल या क्रिप्टोग्राफी की कमियाँ
  • नेटवर्क-स्तरीय हमले
  • गुमनामी को समाप्त करने की तकनीकें
  • सेवा अस्वीकार के मुद्दे

आवर्त्त के बाहर:

  • तृतीय-पक्ष अनुप्रयोग (डेवलपर्स से संपर्क करें)
  • सोशल इंजीनियरिंग या शारीरिक हमले
  • ज्ञात/प्रकट भेद्यताएँ
  • केवल सैद्धांतिक मुद्दे

I2P सुरक्षित रखने में मदद के लिए धन्यवाद!