Contribuire

Panoramica

La verifica da parte di esperti indipendenti consente di identificare le vulnerabilità e di migliorare il sistema di voto elettronico.

Le vulnerabilità confermate e altri riscontri sono disponibili su GitLab.

Ecco come potete contribuire

  • Vi invitiamo a inoltrare i vostri risultati preferibilmente su GitLab, dove trovate una panoramica dei messaggi già pervenuti.
  • In alternativa potete trasmetterci il vostro riscontro tramite modulo online.
  • Vi preghiamo di leggere il Code of Conduct prima di inviarci un riscontro.

Programma bug bounty pubblico

Nella seconda metà del 2021 lanceremo il programma bug bounty pubblico relativo al nuovo sistema di voto elettronico. Siete interessati a partecipare? Allora non esitate a contattarci, vi informeremo non appena il programma prenderà il via.

Mi interessa

Ecco come verifichiamo le segnalazioni

Le segnalazioni vengono analizzate in dettaglio dai nostri specialisti e ci aiutano a migliorare il sistema di voto elettronico. Ci adoperiamo per esaminare rapidamente ogni risultato e inviare una risposta in merito.

Di seguito è descritto il processo di comunicazione di un risultato.

  • Controlliamo che le comunicazioni siano complete e, se necessario, chiediamo ulteriori chiarimenti e informazioni.
  • Successivamente generiamo un ticket che viene analizzato dal nostro specialista di competenza.
  • La persona che ha comunicato il risultato riceve una notifica di elaborazione.
  • Appena terminiamo l’analisi e siamo in grado di confermare un risultato, quest’ultimo viene classificato come «risultato confermato» e pubblicato su GitLab.
  • Per tutte le segnalazioni classificate come «elevate» o «critiche», nel messaggio deve essere selezionato il campo «confidenziale». Tali segnalazioni vengono trattate come riservate. In questi casi vale la «Coordinated Vulnerability Disclosure».
  • Ogni mittente può inoltre decidere se, a prescindere dalla gravità del caso, inviare la propria comunicazione alla Posta in modo riservato.

Vi ricordiamo di rispettare il nostro Code of Conduct.

Ecco come pubblichiamo i messaggi

Coordinated Vulnerability Disclosure

Per garantire la stabilità e la sicurezza del sistema di voto elettronico, ci affidiamo alla divulgazione coordinata delle vulnerabilità (CVD). Potete contribuire al processo nel seguente modo:

  • L’autore del messaggio può pubblicare i suoi risultati; in caso di risultati critici, vi preghiamo di darci al massimo 90 giorni di tempo per analizzare la vostra segnalazione. Al termine della nostra analisi daremo il via libera alla pubblicazione.
  • La Posta pubblica regolarmente i risultati in modo trasparente sul suo sito web. L’autore del messaggio viene menzionato e riconosciuto ma può anche rimanere anonimo.

Programma CVE

La Posta sostiene le Common Vulnerabilities and Exposures (CVE). Incoraggiamo a segnalarci vulnerabilità critiche confermate registrando una CVE e forniamo la nostra assistenza tecnica.