セキュリティアップデート

■Filecoinセキュリティプログラムの更新

Filecoinプロジェクトにおける強力なセキュリティの構築は、プロジェクトの開始時からのコアゴールの1つです。Filecoinプロトコルで実行される重要な操作の基礎となる最先端の数学的証明（例：レプリケーションの証明やProof of Space Time）の作成からスタートし、複数の外部セキュリティ専門家、テスター、研究者と協力してコードと実践を監査することにより、強力なセキュリティ、安全なコード開発とテストの文化を構築するまでに至りました。

Filecoinのメインネットの立ち上げに伴い、新しいFilecoinセキュリティのウェブサイトを発表できることに興奮しています。

■security.filecoin.ioの立ち上げ

このサイトはFilecoin Securityプログラムの中心的なハブとなります。このサイトでは、以下の詳細を見つけることができます。セキュリティ監査、バグバウンティプログラム、責任ある開示方針、過去に報告された調査結果と緩和策についての詳細が記載されています。

発見内容を公開するには2つの方法があります。PGPキーで暗号化してメールで送信する方法と、Keybaseを介して公開する方法です。詳細な手順は、Filecoin Securityのウェブサイトの「Vulnerability Reporting（脆弱性の報告）」に記載されています。

■セキュリティ監査

プロトコルとその実装の背後にある理論が意図した価値と、Filecoinが安全で安全なネットワークであることを可能にすることを確認するために複数のサードパーティの監査専門家と提携しています。

Filecoinとその依存関係が安全であることを確実にするために、過去数年にわたり協力してくれたセキュリティパートナーに感謝します。

・SigmaPrime

https://sigmaprime.io/

・Trail of Bits

https://www.trailofbits.com/

・ConsenSys Diligence

https://diligence.consensys.net/

・NCC

https://www.nccgroup.com/

・Least Authority

Home

・及び少数の独立セキュリティ研究者

これらの事務所（例えば、Drand & Gossipsub）からの監査報告書の過去のリリース含めて、現在はFilecoin Specウェブサイトの監査報告書セクションから報告書へのリンクを見つけることができます。最新のものは以下の通りです。

・SigmaPrimeによるFilecoin提供サブシステムのセキュリティ監査

https://spec.filecoin.io/#section-appendix.audit_reports.2020-07-28-filecoin-proving-subsystem

・Jean-Philipe Aumasson 博士とAntony Vennardによる zk-SNARK プルーフのセキュリティ監査

https://spec.filecoin.io/#section-appendix.audit_reports.2020-07-28-zk-snark-proofs

・ConsenSys DiligenceによるFilecoin Actorsのセキュリティ監査

https://spec.filecoin.io/#section-appendix.audit_reports.2020-10-19-actors-audit

下記監査レポートは近日中にリリース予定です

・Least AuthorityによるFilecoin Lotusの実装セキュリティ監査

・SigmaPrimeによるFilecoin Lotusの実装セキュリティ監査

■責任ある開示方針

プロトコルがユーザーにとって安全であるためには、調査結果の報告、パッチ当て、展デプロイ、そしてユーザーにタイムリーにアップデートを知らせることができるプラットフォームを構築する必要があります。このために、私たちはFilecoinの責任ある開示ポリシーを確立しました。

https://security.filecoin.io/responsible-disclosure

■バグバウンティプログラム

Filecoinは、人類の最も重要な情報のための分散型ストレージネットワークの構築を目指しているため、ネットワークの安全性と信頼性を確保することは非常に重要です。安全なネットワークを構築することは、厳密なテストや監査を超えたものであり、セキュリティコミュニティと協力することで、Filecoinネットワークのより安全で安定した未来が実現すると信じています。このプログラムでは、ネットワーク、コアプロトコル、およびその実装に発見されたセキュリティ脆弱性を誰でも提出することができ、その発見に対して報奨金が支払われます。

Filecoin Bug Bounty Programの詳細については、Filecoin Securityのサイトをご覧ください。

https://security.filecoin.io/bug-bounty

・発見したことを報告するためのプライベートチャンネルが用意されています。

・あなたはセーフハーバーポリシーによって保護されています。

・1つのバグにつき最大25,000ドルの報酬を獲得することができます。

・プログラムの終了日はまだ決まっていませんが、改善する方法を模索しています。

ご意見がある方は是非security@filecoin.orgまでメールして下さい。

セキュリティ・リサーチ・フェローシップの参加者に感謝の意を表します。

最後に、スペースレースの間、私たちはネットワークのセキュリティを強化するために、Filecoinセキュリティ研究フェローシッププログラムを介してコミュニティのいくつかのメンバーと協力しました。

バグバウンティプログラムは、ネットワークの改善に興味のある幅広いFilecoinコミュニティ、ホワイトハット、セキュリティ研究者を巻き込むためのプラットフォームを提供し、メインネットでもこのプログラムを継続しています。

皆さんと共にFilecoinを安全に保つためにセキュリティコミュニティと協力できることを楽しみにしています。

バグハンティングを楽しんでください。

※発信元

https://filecoin.io/blog/filecoin-security-update/