馬特市賞金捉蟲 | 邀請你一起打造更好用的編輯器與更安全的馬特市

Matty
·
·
IPFS
·

隨着馬特市源代碼的開放,我們有機會邀請更多的人參與到馬特市的建設與安全中。儘管已經有很多開發者志願參與到 Matters 的推進中,我們會陸續抽出一些重要、但又無法由 Matters 團隊獨自完成的任務,作爲賞金計劃,邀請和激勵任何感興趣的參與者。

編輯器殺蟲計劃

編輯器是創作者耕耘的園子。對於產品和技術,這個園子裡曲徑通幽,邏輯複雜,離完善還有一段距離。我們建議創作者在有完整版本控制的編輯器中創作,只將 Matters 編輯器作爲發佈使用。但是,仍然有不少 bug 影響大家發佈文章,我們目前還無法準確定位。

準確定位意味著找到了能讓錯誤穩定出現的操作。這樣,我們才能夠讓錯誤由不同的人復現,也才能最終修復問題:

只要能夠找到復現的方法,我們便會給提交者發送獎金;如果你同時提交能夠修復問題的 Pull Request,我們則會發放雙倍的獎金。

草稿丟失

草稿丟失是指草稿全部內容被自動清空。這是最爲嚴重的一種情況,會讓創作者的心血毀於一旦,但我們目前尚不清楚什麼操作會造成草稿丟失。復現草稿丟失的獎金爲 15,000 LIKE。

草稿丟失可能相關的操作包括:

  • 編輯器在後臺閒置一段時間
  • 添加圖片或其他多媒體文件
  • 切換設備後編輯同一篇草稿
  • 刪除大段文字
  • 批量選擇內容段落進行富文本格式設定
  • 編輯字數超過12000字的草稿

預覽錯誤

Matters 的編輯器設計爲所見即所得,即編輯器中呈現的結果應當和最終發佈的文章一致。有用戶回報自己文章在編輯器中預覽時和發不出來之後的結果不一致,但我們一直沒有找到觸發不一致的情況。復現預覽錯誤的獎金爲 10,000 LIKE。

不一致的情況可能包括:

  • 圖片預覽不一致
  • 段落空行數不一致
  • 發佈後出現草稿中不可見的特殊字符

以上兩類編輯器問題,如果你找到了穩定復現的辦法,歡迎電郵 [email protected],領取獎金。來信標題請註明『編輯器殺蟲計劃 — 草稿丟失』或者『編輯器殺蟲計劃 — 預覽錯誤』。Matters 團隊保留對於復現是否符合規則的最終解釋權。

安全漏洞賞金計劃

Matters 上大部分用戶信息都是公開的,使得數據泄漏的風險很低。但是,用戶的郵箱、密碼和登入 token 仍然有被盜的可能,Matters 平臺也會有尚未發現的邏輯漏洞,讓惡意使用者得以越權操作。我們沒有辦法窮盡所有可能的弱點,但我們可以邀請感興趣的馬特市市民和信息安全的從業者,和我們一起審閱代碼、把關安全。

安全漏洞賞金計劃涵蓋 Matters GitHub 中所有公開的代碼庫,以及 matters.news 域名下所有的站點,但是不包括 Matters 平臺使用的第三方組件或者第三方基於 Matters 開發的工具。我們希望你在尋找漏洞的時候不去干擾其他用戶或者獲取其他用戶的敏感信息,並在我們修復漏洞之前不將漏洞公開。

根據漏洞的嚴重程度與波及範圍,我們將漏洞劃分爲『關鍵』、『重要』、『中等』和『輕度』四個級別。我們爲『關鍵』、『重要』和『中等』三種漏洞分別設立了 50,000 LIKE、15,000 LIKE 和 10,000 LIKE的獎金,並會在 GitHub 與 Matters 上致謝和認可『輕度』漏洞的貢獻者。

漏洞賞金計劃的細則,包括漏洞級別的劃分規則與例子,都在 Matters 的 GitHub security policy 中。不管是找到了漏洞,還是對獎金計劃有疑問,歡迎你電郵 [email protected]。Matters 團隊保留對於漏洞級別判定的最終解釋權。


如果以上賞金計劃不能滿足你對 Matters 系統的好奇心,或者你有更大的野心想要實現,我們正在招募全棧工程師與 QA 工程師,歡迎你的加入!

CC BY-NC-ND 2.0 授权

喜欢我的作品吗?别忘了给予支持与赞赏,让我知道在创作的路上有你陪伴,一起延续这份热忱!