安全
漏洞报告
请勿通过公开的GitHub Issue报告漏洞。
请发送电子邮件至[email protected]。
您应该在24-48小时内收到回复。如果因某些原因未收到回复,请通过电子邮件跟进以确认我们收到了您的原始消息。
为了帮助我们更好地理解可能存在的问题的性质和范围,请尽可能提供以下信息:
- 问题类型(例如:缓冲区溢出、缺少所有权检查、跨站脚本等)
- 与问题表现相关的源文件完整路径
- 受影响源代码的位置(标签/分支/提交或直接URL)
- 重现问题所需的任何特殊配置
- 重现问题的分步说明
- 概念验证或利用代码(如果可能)
- 问题的影响,包括攻击者可能如何利用该问题
这些信息将帮助我们更快地对您的报告进行分类。
您也可能有资格获得赏金。更多信息可在此处找到。
审计
持续的自动和手动安全审计由我们的审计合作伙伴Sec3、Accretion和OtterSec定期执行。
自动审计在每个PR上运行,安全问题必须在合并到主分支之前解决。对于超过特定阈值的更改,会启动持续的手动审计,安全问题必须在合并到主分支之前解决。
OShield(原MadShield)负责我们许多历史审计。
如下所述,当代码或功能有重大变化时,也会执行大规模的一次性审计。
| 协议 | 最后一次主要一次性审计日期 |
|---|---|
| Core | 2024-05-06 |
| Token Metadata | 2025-01-21 |
| Inscriptions | 2024-01-16 |
| Bubblegum/Compression | 2025-05-12 |
| Trifle/Fusion | 2023-04-13 |
| Candy Machine V3 | 2022-11-01 |
| Candy Machine V2 | 2022-11-01 |
| Auction House | 2022-10-24 |
| Gumdrop | 2022-05-16 |
我们的开发者工具没有由审计合作伙伴定期执行的持续自动/手动安全审计。但是,审计可能由第三方Solana生态系统开发者或实体社区独立订购、促进和支付。
| 开发者工具 | 最后审计日期 |
|---|---|
| Sugar CLI* | 2022-08-26 |
(*) 由OtterSec审计