Gracias a Dios podemos ofrecer $360.000 pesos colombianos (aprox.
$EU120) por cada falla de seguridad encontrada y solucionada en SIVeL
1.2b3 (agradecemos los $150.000 adicionales ofrecidos por
wir...@riseup.net desde el 6.May.2010).
Si pertenece a una organización donde se documentan infracciones al
Derecho Internacional Humanitario o violaciones a los Derechos Humanos
con SIVeL l@ invitamos a hacer donaciones para este llamado público de
forma que la retribución aumente.
Si es desarrollador(a) o interesad@ en seguridad informática l@
invitamos a buscar fallas de seguridad en SIVeL, bien experimentando en
la instalación de prueba para este llamado, o bien haciendo su propia
instalación siguiendo las recomendaciones para el ambiente de ejecución
(ver http://sivel.sourceforge.net/1.2/instalacion.html), o bien
auditando las fuentes de dominio público en PHP.
Para reportar cada falla tenga en cuenta:
Sumercé encontró la falla.
Cada falla debe ser replicable en la instalación de prueba. Busque
tanto en el formulario que no requiere autenticación:
https://www.pasosdeJesus.org/sivel12/consulta_web.php ; como en otros
componentes con el rol analista del usuario sivel12 y clave sivel12:
https://www.pasosdeJesus.org/sivel12/index.php ; o como administrador
adminsivel12 y también clave sivel12. Esta instalación opera en la
plataforma de ejecución recomendada (distribución adJ 5.5 de OpenBSD,
servidor web nginx con SSL en chroot, PostgreSQL con autenticación y
hardened PHP) y con algunos datos producidos por el Banco De Datos de
Violencia Política, DH y DIH del CINEP.
Su reporte debe incluir la metodología que empleó para encontrarla y
proponer una solución para las fuentes de la rama master disponibles en
el repositorio git https://github.com/pasosdeJesus/SIVeL. (en el
directorio doc de las fuentes hay ejemplos de auditorías anteriores).
Reporte la falla en el sistema de seguimiento y la solución como un
pull request que incluya el comentario "se cede al dominio público."
Su aporte será evaluado y respondido allí mismo y en caso de que
podamos reproducir la falla, le entregaremos la retribución como lo
prefiera y sea posible: personalmente o por PayPal o por transferencia
bancaria en Colombia.
Los datos que no desee publicar en github (por ejemplo su nombre) puede
enviarlos a Vladimir Támara Patiño vtam...@pasosdejesus.org o
escribiendo por correo postal a Cr 5 #33B-02, Bogotá, Colombia (si
requiere enviar información cifrada puede emplear la llave pública PGP
disponible en http://vtamara.pasosdeJesus.org/vtamara-pgp.txt).
Agradecemos su interés en esta convocatoria pública, cuya versión más
reciente está disponible en http://sivel.sf.net/1.2/llamado.html Lo
invitamos a distribuirla solidariamente y sin cambios.
-------------------------------------
Thanks to God we are able to offer $360.000 colombian pesos (aprox.
EU$120) for each vulnerability found and fixed in SIVeL 1.2 (we thank
EU$50 offered by wir...@riseup.net since 6.May.2010).
If you belong to an organization that documents infractions to
Humanitarian International Law or Human Rights Violations with SIVeL, we
invite you to donate for this public invitation, in order to increase
the reward offered.
If you are developer or interested in information security we invite
you to look for in the security of SIVeL, by experimenting on the test
installation; or by doing your own installation, following the
recommendations for the operation environment (see Capítulo 5,
Instalación y Actualización), or by auditing the PHP sources in the
public domain.
To report a vulnerability please have in mind:
You found the bug.
Each bug must be replicable in the test installation. You can check the
form that doesn't require authentication:
https://www.pasosdeJesus.org/sivel12/consulta_web.php ; as well as in
other components as the user sivel12 with password sivel12 and role
analyst: https://www.pasosdeJesus.org/sivel12/index.php ; or as
administrator adminsivel12 also with password sivel12. This installation
operates on the recommended execution platform (OpenBSD distribution adJ
5.5, web server nginx with SSL in chroot, PostgreSQL with authentication
and hardened PHP) and uses data from Banco De Datos de Violencia
Política, DH y DIH del CINEP.
Your report should explain the methodology that you used to find the
bug and propose a solution in the source code of the branch master of
the git repository https://github.com/pasosdeJesus/SIVeL. (in the
directory doc of the sources there are examples of past auditories).
Report the vulnerability as an issue in github and the fix as a pull
request with the commentary "given to public domain."
Your report will be evaluated there and if we are able to reproduce the
bug, we will give you the monetary compensation as you prefer:
personally or via PayPal or bank transfer in Colombia.
The data about yourself that you don't want to publish in github (for
example your name), can be sent to Vladimir Támara Patiño
vtam...@pasosdejesus.org or by writing to Cr 5 #33B-02, Bogotá, Colombia
(if you need to send encrypted information you can use the PGP public
key available at http://vtamara.pasosdeJesus.org/vtamara-pgp.txt).
We thank your interest in this public call, its most recent version is
available at: http://sivel.sf.net/1.2/call.html. We invite you to
distribute it without changes.
_______________________________________________
Lista de correo de Colibri
Colibri@listas.el-directorio.org
http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri
http://slcolombia.org/Colibri/UsoLista
http://slcolombia.org/Colibri/ContratoSocial
El Directorio, el sitio del Software Libre en Colombia:
http://www.el-directorio.org
