Gracias a Dios podemos ofrecer $300.000 pesos colombianos por cada falla de seguridad encontrada y solucionada en SIVeL 1.0.5 (agradecemos los $150.000 adicionales ofrecidos por wiroal@riseup.net desde el 6.May.2010).
Si sumercé pertenece a una organización donde se documentan infracciones al Derecho Internacional Humanitario o violaciones a los Derechos Humanos con SIVeL l@ invitamos a hacer donaciones para este llamado público de forma que la retribución aumente.
Si sumercé es desarrollador(a) o interesad@ en seguridad informática l@ invitamos a buscar fallas de seguridad en SIVeL, bien experimentando en la instalación de prueba para este llamado, o bien haciendo su propia instalación siguiendo las recomendaciones para el ambiente de ejecución (ver Capítulo 5, Instalación y Actualización), o bien auditando las fuentes de dominio público en PHP.
Para reportar cada falla tenga en cuenta:
Sumercé encontró la falla.
Cada falla debe ser replicable en la
instalación de prueba.
Busque tanto en el formulario que no
requiere autenticación:
https://sivel1.pasosdeJesus.org/consulta_web.php ;
como en otros componentes que no deberían
permitir modificación de datos como
usuario
sivel1 y
clave sivel1:
https://sivel1.pasosdeJesus.org/index.php ; o bien como administrador (que si permite modificación)
adminsivel1 --la
misma clave.
Esta instalación opera
en la plataforma de ejecución
recomendada (distribución
adJ 4.6
de OpenBSD, servidor web con SSL en chroot,
PostgreSQL con autenticación y hardened PHP)
y opera con datos del
Banco De Datos de Violencia Política, DH y DIH del CINEP.
Su reporte debe incluir la metodología
que empleó para encontrarla y proponer una
solución para las fuentes de la
rama SIVEL1_0 disponibles en el repositorio
CVS
https://sourceforge.net/scm/?type=cvs&group_id=104373.
(en el directorio doc
de las fuentes hay ejemplos de auditorías
anteriores).
Para reportar la falla suscriba una dirección de correo en la lista no moderada sivel-desarrollo y envíe allí su reporte de dominio público (el hecho de reportar una falla en esa lista confirma que su contribución es de dominio público).
Su aporte será evaluado y respondido en la misma lista y en caso de que podamos reproducir la falla, le entregaremos la retribución personalmente o por PayPal o por transferencia bancaria.
Los datos que no desee publicar en la lista (por ejemplo su nombre) puede enviarlos a Vladimir Támara Patiño vtamara@pasosdeJesus.org o escribiendo por correo postal a Cr 5 #33A-08, Bogotá, Colombia (si requiere enviar información encriptada puede emplear la llave pública PGP disponible en http://vtamara.pasosdeJesus.org/vtamara-pgp.txt).
Agradecemos su interés en esta convocatoria pública, cuya versión más reciente está disponible en http://sivel.sf.net/1.0/llamado.html Lo invitamos a distribuirla solidariamente y sin cambios.