自上周CPChain RNode公测计划上线后，我们收到参与测试用户的众多建议，为了激励更多的社区用户参与到CPChain主网的建设之中，我们推出了CPChain Bug Bounty 计划。

本计划旨在保障 CPChain区块链系统的安全性，为来自世界各地的CPChain开发者们提供Bug反馈渠道与奖励。

如果发现关于我们的区块链底层的潜在安全性问题或者威胁，请按照我们在本文中详述的格式在CPChain官方GitHub上进行提交。我们会尽力调查并修复所有符合条件的漏洞。

本期Bug Bounty计划自2019年5月20日起，截止时间为11月20日，为期半年（由于前期已有部分社区朋友们参与了RNode公测中，这部分用户所提交的Bug也包括在内，我们会对其作出相应的评估，并给予对应奖励），所有奖励将以CPC进行支付。

注意：根据评定的漏洞严重程度等级，漏洞的严重程度、影响度越高，奖励越高。

基本说明

安全漏洞的等级评估将会由CPChain内部技术团队根据严重程度、影响程度等多个维度进行判定打分，我们会在稍晚些时候回复，首次回复时间预计为从报告提交日期开始的第5个工作日；分类时间与解决方案（从提交日期开始）将在第10个工作日提出。

CPChain将会定期在官网以及社交媒体上发布项目反馈，获得奖励的参与者可在官方宣布结果的7天内收到奖金。

获得奖励需遵守以下规则：

1. 只有影响区块链稳定性或安全性的设计或实施问题才属于该计划的范围，CPChain区块链上相关设施（网站、文档、第三方客户端、区块链浏览器、开发工具等）不属于奖励范畴，详见下文奖励计划范畴。

2. 提交的报告应包含详细的重现流程，包括截图，具体的语言描述等内容，如果没有，则无法获得奖励。报告中有关漏洞的证明和描述越详细，对漏洞搜集的证据和问题的定位越详细，奖励越高。

3. 若多人提交重复报告，我们只会将奖金授予第一个提交问题的团队或个人。

4. 由一个漏洞引起的系列漏洞被视为一个漏洞，例如，由数据溢出引起的一系列计算错误。

出现下列情形的漏洞不符合奖励条件：

1. 已经公布的或者已知的漏洞不属于奖励的范畴；

2. 提交者使用提交的漏洞破坏CPChain区块链系统，侵犯用户利益并盗窃用户资产的参与者将被取消获奖励资格；CPChain保留对任何此类参与者采取法律行为的权利。

奖励范畴

以下项目属于Bug Bounty计划的范围：

CPChain --- Chain

CPChain --- Wallet

提交标准

请不要试图访问和修改任何用户的数据或攻击 CPChain主网和测试网，您可以在自己搭建的私有链上查找漏洞。 

Bug提交需包含以下内容：

• 资产：漏洞与哪些项目相关（如Chain或Wallet）；

• 严重性：对问题严重程度的评估（例如关键，高，中，低）；

• 摘要：添加漏洞的总结；

• 说明：有关此漏洞的其他详细信息；

• 详细步骤：可重现漏洞步骤，并能够让CPChain团队清楚每一个步骤细节；

• 参考资料：相关引用和支持材料，可以使复制的源代码，截图，日志信息等等；

• 影响程度：攻击者会造成何种程度的安全影响；

• 名字及国家：注明你的名字及所在国家；

   

提交路径

用户须提前在https://github.com/上完成注册（已注册用户跳过该步骤）；

注册完成后，打开页面：

https://github.com/CPChain/chain；

点击star和fork，即可进入提交页面。

奖励规则

CPChain的研发团队将通过OWASP风险评级方法对提交Bug的严重程度进行评级，并根据报告问题进行风险评估，分为Critical, High, Medium, Low四个等级，所有奖励将以CPC支付。

问题的严重程度由下列等式计算：

严重性=影响*可能性

与严重程度等级相关的奖金发放如下规则：

备注：CPChain对本活动具有最终解释权