🔒

भेद्यता प्रतिक्रिया प्रक्रिया

I2P की सुरक्षा भेद्यता रिपोर्टिंग और प्रतिक्रिया प्रक्रिया

सुरक्षा ईमेल: security@i2p.net
प्रतिक्रिया समय: 3 कार्य दिवसों के भीतर

भेद्यता की रिपोर्ट करें

कोई सुरक्षा मुद्दा खोजा है? इसे security@i2p.net पर रिपोर्ट करें (PGP प्रोत्साहित)

PGP कुंजी डाउनलोड करें | GPG कुंजी फिंगरप्रिंट: EA27 06D6 14F5 28DB 764B F47E CFCD C461 75E6 694A

अनुसंधान दिशा-निर्देश

कृपया ऐसा न करें:

  • सक्रिय I2P नेटवर्क का दुरुपयोग
  • I2P इन्फ्रास्ट्रक्चर पर सोशल इंजीनियरिंग या हमला
  • अन्य उपयोगकर्ताओं के लिए सेवाओं में बाधा डालें

कृपया ऐसा करें:

  • संभव हो तो पृथक टेस्ट नेटवर्क का उपयोग करें
  • समन्वित प्रकटीकरण प्रथाओं का पालन करें
  • लाइव नेटवर्क टेस्टिंग से पहले हमसे संपर्क करें

प्रतिक्रिया प्रक्रिया

1. रिपोर्ट प्राप्त हुई

  • 3 कार्य दिवसों के भीतर प्रतिक्रिया
  • प्रतिक्रिया प्रबंधक नियुक्त
  • गंभीरता वर्गीकरण (उच्च/मध्यम/कम)

2. जांच और विकास

  • गुप्त चैनलों के माध्यम से निजी पैच विकास
  • पृथक नेटवर्क पर परीक्षण
  • उच्च गंभीरता: 3 दिनों के भीतर सार्वजनिक सूचना (कोई शोषण विवरण नहीं)

3. रिलीज़ और प्रकटीकरण

  • सुरक्षा अपडेट तैनात
  • पूर्ण प्रकटीकरण के लिए 90-दिन अधिकतम समयरेखा
  • घोषणाओं में वैकल्पिक शोधकर्ता क्रेडिट

गंभीरता स्तर

उच्च - पूरे नेटवर्क पर प्रभाव, तत्काल ध्यान आवश्यक मध्यम - व्यक्तिगत राउटर, लक्षित शोषण कम - सीमित प्रभाव, सैद्धांतिक परिस्थितियाँ

सुरक्षित संचार

सभी सुरक्षा रिपोर्टों के लिए PGP/GPG एन्क्रिप्शन का उपयोग करें:

फिंगरप्रिंट: EA27 06D6 14F5 28DB 764B F47E CFCD C461 75E6 694A

अपनी रिपोर्ट में शामिल करें:

  • विस्तृत तकनीकी विवरण
  • पुनरुत्पादन के चरण
  • प्रूफ-ऑफ-कॉन्सेप्ट कोड (यदि लागू हो)

समयरेखा

चरणसमयरूप
प्रारंभिक प्रतिक्रिया0-3 दिन
जांच1-2 सप्ताह
विकास और परीक्षण2-6 सप्ताह
रिलीज़6-12 सप्ताह
पूर्ण प्रकटीकरणअधिकतम 90 दिन

अक्सर पूछे जाने वाले प्रश्न

रिपोर्ट करने पर मुझे परेशानी होगी? नहीं। जिम्मेदार प्रकटीकरण की सराहना और सुरक्षा की जाती है।

क्या मैं लाइव नेटवर्क पर परीक्षण कर सकता हूँ? नहीं। केवल पृथक टेस्ट नेटवर्क का उपयोग करें।

क्या मैं गुमनाम रह सकता हूँ? हाँ, हालांकि इससे संचार में जटिलता आ सकती है।

क्या आपके पास बग बाउंटी है? वर्तमान में नहीं। I2P स्वयंसेवक संचालित है और सीमित संसाधनों के साथ है।

क्या रिपोर्ट करें

आवर्त्त के भीतर:

  • I2P राउटर की भेद्यताएँ
  • प्रोटोकॉल या क्रिप्टोग्राफी की कमियाँ
  • नेटवर्क-स्तरीय हमले
  • गुमनामी को समाप्त करने की तकनीकें
  • सेवा अस्वीकार के मुद्दे

आवर्त्त के बाहर:

  • तृतीय-पक्ष अनुप्रयोग (डेवलपर्स से संपर्क करें)
  • सोशल इंजीनियरिंग या शारीरिक हमले
  • ज्ञात/प्रकट भेद्यताएँ
  • केवल सैद्धांतिक मुद्दे

I2P सुरक्षित रखने में मदद के लिए धन्यवाद!