보안
Neos는 제품과 서비스의 보안을 중요하게 생각합니다. Neos에서 보안 문제로 추정되는 문제를 발견 하셨거나 문제를 경험하신 경우 아래 설명에 따라 신고해 주십시오.
보고 가능한 것
우리는 일반적으로 아래와 같은 유형의 문제점을 찾고 있습니다.
- 개인정보 누출/수집
- 개인정보의 의미는 아래의 개인정보를 참조하여 주세요.
- 통화(화폐) 도난/위변조
- 사용자 컴퓨터에 대한 접근 및 권한 조작
- 네오스 클라우드 이슈 외.
- 권한 시스템 위반 및 우회
- 아바타, 월드 및 오브젝트 강탈이나 복제
- 사용안내에 정의되어 있는 것
- 네오스 또는 월드가 깨지는* 문제
Neos는 아직 Beta 버전임에 충돌은 매우 일반적으로 발생합니다. 우리는 통상 충돌에 대한 현상금은 지급하지 않습니다. 하지만, 관련 정보의 필요성은 여전하므로 지속적인 보고를 부탁드립니다. 현상금에 대한 자세한 내용은 현상금을 참조하세요.
비록 이것은 모든 유형을 보여주는 것은 아니지만, 최대한 유형에 맞춰주세요. 이것이 귀찮으시다면 보고 하는것은 재고해 주시기바랍니다.
보안 문제 보고/악용
이 유형의 보고는 아래와 같은 개방형 시스템을 이용하진 말아 주세요:
- 깃허브 이슈 게시판
- 네오스 디스코드
- 네오스의 공개세션에서 이야기하는 것
- 트위터나 기타 소셜 미디어
보안 보고는 중제티켓 시스템을 이용하시고 옵션은 "Report an Exploit"을 선택하여 주세요.
보고서 작성시 가능한한 범위에서 몇몇 정보가 포함되어 있어야 합니다. 아래는 이의 좋은 예시입니다.:
- 발견한 것은 무엇인가
- 어떻게 발견 하였는가
- 얼마나 심각한 문제인가
- 문제의 확산정도(같이 발견했거나, 공공연하게 퍼졌다거나 하는 내용)
- 로그 파일
- 복제의 확산정도
- 스크린샷
- 영상
- 복제된 아이템의 URL이나 Link
또한 이 보고에 대한 보고자 정보를 패치로그에 표시하지 않고 싶으시면 표시를 해 두세요. 보고자 정보 표시 여부는 보상 수령과 아무런 상관이 없습니다.(무조건 받음)
보고 규정 / 안내
이 지침은 일반 사용안내을 대체하거나 무효화하기 위한 것이 아니라 보안 문제 영역에서 몇 가지 추가 지침을 제공하기 위해 고안되었습니다.
- 보안 문제 보고시의 문제로 인해 밴을 하거나 계정 제한되지는 않습니다.. 문제점을 보고하는 것은 바른 일이며, 권장하는 바입니다.
- 문제 재현을 위해 타인의 도움이 필요한 경우, 상대방의 동의를 받으세요.
- 발견했거나 보고한 문제점을 공개/공유하거나 사용을 권장하지 마세요.
- 여기에는 시연, "과시", 광고하는 등의 행위가 포함됩니다.
- 타인을 괴롭히거나 방해하거나 겁주기 위한 목적으로 발견된 문제를 사용/시연하는 경우 사용안내에 의거하여 계정이 제한될 수 있습니다.
- 공개 세션 또는 타인이 호스트인 세션에서 문제점을 테스트, 재생산 또는 조사하지 마십시오.
- 원하는 경우, 문제가 해결된 후에 공개적으로 논의할 수 있습니다.
- 이 작업을 수행할 때는 Neos에 존재하는 다른 사용안내를 잘 준수하시고, 전문적인 첨언 및 Neos와 커뮤니티를 존중하며 진행 해 주세요.
- 문제점 발견에 대해 자랑하지 마세요.
개인 정보
Neos의 세션용 P2P 인프라와 "Neos" 개발 측면으로 보면, 유연성과 개방성으로 인해 개인 정보로 분류하는 항목이 명확하지 않을 수 있습니다.
그러나, 좀 더 명확하게 비공개가 아닌(=개인 정보에 포함되지 않은) 유형은 아래와 같이 정의됩니다.
- Username
- User ID
- Machine ID
- IP Address
- Steam ID
- Used with Steam Networking Sockets and Rich Presence
- Discord ID
- Used with Discord Rich Presence
Although this information is not considered private, using or acquiring it in a way which breaches any other Neos Guidelines may still lead to account restrictions.
보고절차
Once a report has been submitted to our ticket system you should receive the following responses:
- Acknowledgement - A response from our ticket system should let you know that we've received your ticket.
- Further Responses - A Neos Representative may reach out with some additional questions or clarifications to help us to triage and work on your issue.
- Please work with this representative in providing as much information as you can and answering their questions.
- Working with Neos on your issue will help us reproduce it and fix it sooner.
- Resolution - After the issue is resolved you will receive an additional message acknowledging that this issue is resolved.
Example Report
We have an example report which was submitted by the community and lead to a fix. It has been anonymized and presented to you to provide an example of what we're looking for.
현상금
When reporting issues to Neos, we may give out rewards or incentives for reporting security issues. The rewards are in the form of CDFT(Community Developer Fund Token) which you can read more about on our Neos Whitepaper.
We've decided to reward in CDFT as this allows us to provide rewards that will grow as Neos does. When the price of NCR increases with Neos so will the real world value of your reward. This allows us to provide much larger rewards when you consider their long term value.
The amount of CDFT awarded, will vary depending on a number of factors including(but not limited to):
- Severity of Issue
- Complexity of the Issue
- Quality of Report
Additionally, a reward may not be issued in all cases. Some reasons that may cause a reward to not be issued are:
- Invalid Issues
- Issues that have the same root cause as a previous issue.
- Issues that have been previously reported by another user.
- Issues that the Neos Team is aware of and plan to cover as a part of larger roadmapped items.
- Issues that are not classified as Security related or Exploitable.
- Issues that are submitted anonymously.
- If you'd like an award but would like to remain publicly anonymous you can opt out of being credited with the discovery of an issue. When reporting the issue ensure that you include your name and the desire to remain publicly anonymous.
In all cases the Neos Team will discuss and deliberate what a suitable reward if any for a particular issue may be. Based on the consensus the reward will then be issued. A decision may take some time to reach. Do not expect an instant decision.
It is important to remember that this reward is an incentive and reward for your reports, it is not intended to be a competition, race or to provide a salary. We may change, update, remove or add to this bounty at any time.
Any conduct relating to this program which breaches the regular Neos Guidelines may result in a forfeiture of any rewards and a potential exclusion from reward considerations in the future.
보상금
After deliberation and discussion with the Neos Team, a choice to reward a bounty may result in an award that is between 5000 and 10000 CDFT. A reward is not guaranteed.
Multiple issues that are reported may also strengthen your regular application for CDFT should you have one.
Please do not submit a CDFT application for each report made and please do not submit an application just for your security reporting activities.
그룹 / 팀 보상
만약 그룹이나 팀 단위로 이를 수행한 경우, 원본 보고서에 이를 기재하여 주세요. 보상금이 배정되는 경우 이의 분배 방법을 결정할 수 있도록 연락을 드립니다.
소급 보상
If you have previously made reports, we will not be retroactively giving out rewards for these reports.
In these cases, we do encourage you to submit a regular CDFT Application if you do not already have an active one. Your historical security reports and current activity may be factored in to strengthen your application.
Please do not submit a CDFT application for each report made and please do not submit an application just for your security reporting activities.
Mods & Plugins
See our Mod & Plugin Policy.
This was copied from SECURITY.md on our GitHub on: 2021-09-08. It may be out of date. Check the original source to double-check.