ការប្តេជ្ញាចិត្តរបស់យើងចំពោះសន្តិសុខ

MoneyLead យកចិត្តទុកដាក់លើសុវត្ថិភាព។ យើងកោតសរសើរចំពោះការងាររបស់អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាព ដែលជួយយើងការពារអ្នកប្រើប្រាស់របស់យើង និងកែលម្អប្រព័ន្ធរបស់យើង។ ទំព័រនេះរៀបរាប់អំពីគោលការណ៍បង្ហាញអំពីភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពរបស់យើង និងរបៀបរាយការណ៍បញ្ហាសុវត្ថិភាពប្រកបដោយទំនួលខុសត្រូវ។

Scope

ក្នុងវិសាលភាព៖

  • moneylead.gg និងដែនរងទាំងអស់។
  • កម្មវិធីបណ្តាញដែលប្រឈមមុខនឹងសាធារណៈទាំងអស់។
  • ចំណុចបញ្ចប់ API ទាំងអស់។
  • យន្តការផ្ទៀងផ្ទាត់ និងការអនុញ្ញាត
  • ការរក្សាទុកទិន្នន័យ និងការបញ្ជូនទិន្នន័យ

ក្រៅវិសាលភាព៖

  • ការវាយប្រហារវិស្វកម្មសង្គម
  • ការធ្វើតេស្តសុវត្ថិភាពរាងកាយ
  • ការវាយប្រហារបដិសេធសេវាកម្ម (DoS/DDoS)
  • សេវាកម្មភាគីទីបី (GitHub អ្នកផ្តល់ CDN ។ល។)
  • សារឥតបានការ ឬការវាយប្រហារតាមប្រព័ន្ធផ្សព្វផ្សាយសង្គម

របៀបរាយការណ៍

នៅពេលរាយការណ៍អំពីភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព សូមរួមបញ្ចូល៖

  1. ការពិពណ៌នា - ការពន្យល់ច្បាស់លាស់អំពីភាពងាយរងគ្រោះ
  2. ជំហានក្នុងការបន្តពូជ - ជំហានលម្អិតក្នុងការបង្កើតបញ្ហាឡើងវិញ
  3. ផលប៉ះពាល់ - ផលប៉ះពាល់សុវត្ថិភាពដែលអាចកើតមាន និងអ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់
  4. ភស្តុតាងនៃគំនិត។ - លេខកូដ PoC ឬរូបថតអេក្រង់ណាមួយ។
  5. បរិស្ថាន - កម្មវិធីរុករកតាមអ៊ីនធឺណិត ប្រព័ន្ធប្រតិបត្តិការ និងព័ត៌មានលម្អិតពាក់ព័ន្ធផ្សេងទៀត។
  6. ព័ត៌មានទំនាក់ទំនងរបស់អ្នក។ - របៀបដែលយើងអាចទាក់ទងអ្នកសម្រាប់ការតាមដាន

ជំនួយ: សម្រាប់ព័ត៌មានរសើប សូមអ៊ិនគ្រីបអ៊ីមែលរបស់អ្នកដោយប្រើសោ PGP របស់យើង។

បន្ទាត់ពេលវេលាឆ្លើយតប

1️⃣ ការឆ្លើយតបដំបូង - ក្នុងរយៈពេល 48 ម៉ោងបន្ទាប់ពីការបញ្ជូនរបាយការណ៍
2️⃣ បច្ចុប្បន្នភាពស្ថានភាព - ក្នុងរយៈពេល 7 ថ្ងៃជាមួយនឹងលទ្ធផល triage
3️⃣ ការកំណត់ពេលវេលានៃដំណោះស្រាយ - អាស្រ័យលើភាពធ្ងន់ធ្ងរ (ទំនាក់ទំនងបន្ទាប់ពី triage)
4️⃣ ការបង្ហាញ - ការសម្របសម្រួលការបង្ហាញបន្ទាប់ពីការជួសជុលត្រូវបានដាក់ពង្រាយ

កំពង់ផែសុវត្ថិភាព

យើង​ចាត់​ទុក​ការ​ស្រាវជ្រាវ​សុវត្ថិភាព​ដែល​បាន​ធ្វើ​ឡើង​ដោយ​អនុលោម​តាម​គោលការណ៍​នេះ​ថា​ជា៖

  • ផ្តល់សិទ្ធិ ស្របតាមច្បាប់ជាធរមាន
  • លើកលែង ពីការរឹតបន្តឹងលក្ខខណ្ឌនៃសេវាកម្មដែលនឹងរំខានដល់ការស្រាវជ្រាវ
  • ស្របច្បាប់ និងមានប្រយោជន៍ចំពោះសុវត្ថិភាពនៃប្រព័ន្ធរបស់យើង។

យើង​នឹង​មិន​បន្ត​ចំណាត់ការ​ផ្លូវ​ច្បាប់​ទេ។ ប្រឆាំងនឹងអ្នកស្រាវជ្រាវដែល៖

  • ខិតខំប្រឹងប្រែងដោយស្មោះត្រង់ ដើម្បីជៀសវាងការរំលោភឯកជនភាព និងការរំខាន
  • ធ្វើអន្តរកម្មជាមួយគណនីដែលអ្នកជាម្ចាស់ ឬដោយមានការអនុញ្ញាតច្បាស់លាស់ប៉ុណ្ណោះ។
  • កុំទាញយកភាពងាយរងគ្រោះលើសពីភស្តុតាងនៃគំនិត
  • រាយការណ៍ពីភាពងាយរងគ្រោះភ្លាមៗ
  • រក្សាព័ត៌មានលម្អិតនៃភាពងាយរងគ្រោះជាសម្ងាត់ រហូតដល់យើងដោះស្រាយពួកគេ។

ការអ៊ីនគ្រីប

សម្រាប់ការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាពអំពីភាពងាយរងគ្រោះដែលងាយរងគ្រោះ សូមប្រើសោសាធារណៈ PGP របស់យើង ដើម្បីអ៊ិនគ្រីបសាររបស់អ្នក៖

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

ព័ត៌មានលម្អិតសំខាន់ៗរបស់យើង៖

  • ប្រភេទ: RSA 4096 ប៊ីត
  • ស្នាមម្រាមដៃ៖ 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • ផុតកំណត់៖ 2027-10-14

Security.txt

យើងធ្វើតាម RFC 9116 ស្តង់ដារសម្រាប់ security.txt ។ អ្នកអាចស្វែងរកគោលការណ៍សុវត្ថិភាពដែលអាចអានដោយម៉ាស៊ីនរបស់យើងនៅ៖

https://moneylead.gg/.well-known/security.txt

(PGP បានចុះហត្ថលេខា និងអនុលោមតាម RFC 9116)

ការទទួលស្គាល់

យើងជឿជាក់លើការទទួលស្គាល់អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខដែលជួយយើងកែលម្អសុវត្ថិភាពរបស់យើង។ អ្នកស្រាវជ្រាវដែលបង្ហាញពីភាពងាយរងគ្រោះដោយការទទួលខុសត្រូវអាចជា៖

  • ទទួលស្គាល់ជាសាធារណៈនៅលើគេហទំព័ររបស់យើង (ដោយមានការអនុញ្ញាត)
  • បន្ថែមទៅសាលកិត្តិនាមសន្តិសុខរបស់យើង។
  • ផ្តល់ដោយ swag ឬការទទួលស្គាល់ផ្សេងទៀត។

ចំណាំ៖ បច្ចុប្បន្ននេះ យើងមិនផ្តល់កម្មវិធីផ្តល់រង្វាន់ទេ ប៉ុន្តែយើងសូមថ្លែងអំណរគុណយ៉ាងជ្រាលជ្រៅចំពោះការបង្ហាញប្រកបដោយការទទួលខុសត្រូវ ហើយនឹងទទួលស្គាល់ការរួមចំណែករបស់អ្នក។