Gracias a Dios podemos ofrecer $360.000 pesos colombianos (aprox. $EU120) por cada falla de seguridad encontrada y solucionada en SIVeL 1.2.x (agradecemos los $150.000 adicionales ofrecidos por wiroal@riseup.net desde el 6.May.2010).
Si pertenece a una organización donde se documentan infracciones al Derecho Internacional Humanitario o violaciones a los Derechos Humanos con SIVeL l@ invitamos a hacer donaciones para este llamado público de forma que la retribución aumente.
Si es desarrollador(a) o interesad@ en seguridad informática l@ invitamos a buscar fallas de seguridad en SIVeL, bien experimentando en la instalación de prueba para este llamado, o bien haciendo su propia instalación siguiendo las recomendaciones para el ambiente de ejecución (ver http://sivel.sourceforge.net/1.2/instalacion.html), o bien auditando las fuentes de dominio público en PHP.
Para reportar cada falla tenga en cuenta:
Sumercé encontró la falla.
Cada falla debe ser replicable en la
instalación de prueba.
Busque tanto en el formulario que no
requiere autenticación:
https://www.pasosdeJesus.org/sivel12/consulta_web.php ;
como en otros componentes con el
rol analista
del usuario
sivel12 y
clave sivel12:
https://www.pasosdeJesus.org/sivel12/index.php ; o como administrador
adminsivel12 y también
clave sivel12.
Esta instalación opera
en la plataforma de ejecución
recomendada (distribución
adJ 5.7
de OpenBSD, servidor web nginx con SSL en chroot,
PostgreSQL con autenticación y hardened PHP)
y opera con datos del
Banco De Datos de Violencia Política, DH y DIH del CINEP.
Su reporte debe incluir la metodología
que empleó para encontrarla y proponer una
solución para las fuentes de la
rama master
disponibles en el repositorio git
https://github.com/pasosdeJesus/SIVeL.
(en el directorio doc
de las fuentes hay ejemplos de auditorías
anteriores).
Reporte la falla en el sistema de seguimiento y la solución como un pull request que incluya el comentario "se cede al dominio público."
Su aporte será evaluado y respondido allí mismo y en caso de que podamos reproducir la falla, le entregaremos la retribución como lo prefiera y sea posible: personalmente o por PayPal o por transferencia bancaria en Colombia.
Los datos que no desee publicar en github (por ejemplo su nombre) puede enviarlos a Vladimir Támara Patiño vtamara@pasosdeJesus.org o escribiendo por correo postal a Cr 5 #33B-02, Bogotá, Colombia (si requiere enviar información cifrada puede emplear la llave pública PGP disponible en http://vtamara.pasosdeJesus.org/vtamara-pgp.txt).
Agradecemos su interés en esta convocatoria pública, cuya versión más reciente está disponible en http://sivel.sf.net/1.2/llamado.html Lo invitamos a distribuirla solidariamente y sin cambios.