Bug Bounty Programm

Capgo setzt sich für Sicherheit und Transparenz ein. Unser gesamter Code ist Open Source, und wir begrüßen Sicherheitsforscher, die uns helfen, Schwachstellen in unserer Codebasis zu identifizieren.

Open Source Code

Jedes Repository in der Capgo Organisation ist Open Source. Sie können unseren Code überprüfen, auditieren und dazu beitragen.

GitHub Organisation: github.com/Cap-go

Anforderungen für gültige Berichte

Um für das Bug Bounty Programm berechtigt zu sein, muss Ihr Bericht ALLE folgenden Anforderungen erfüllen:

• Sie müssen die genaue Datei und Zeilennummer in unserem GitHub-Repository identifizieren, wo die Schwachstelle existiert
• Ihr Bericht muss über GitHub Security Advisory im entsprechenden Repository eingereicht werden
• Sie müssen eine klare Beschreibung der Schwachstelle und ihrer potenziellen Auswirkungen beifügen
• Sie müssen reproduzierbare Schritte zur Demonstration des Problems angeben

So melden Sie

1. Navigieren Sie zum entsprechenden Repository auf GitHub
2. Klicken Sie auf den Tab "Security"
3. Klicken Sie auf "Report a vulnerability" um einen neuen Security Advisory zu erstellen
4. Geben Sie den genauen Dateipfad und die Zeilennummer(n) an, wo die Schwachstelle existiert
5. Beschreiben Sie detailliert die Schritte zur Reproduktion und erläutern Sie die Sicherheitsauswirkungen

Außerhalb des Geltungsbereichs

• Berichte ohne genaue Code-Zeilenreferenzen in GitHub
• Berichte, die nicht über GitHub Security Advisory eingereicht wurden
• Theoretische Schwachstellen ohne Proof of Concept
• Probleme in Drittanbieter-Abhängigkeiten (melden Sie diese upstream)
• Social Engineering oder Phishing-Versuche
• Denial of Service Angriffe

Bei Fragen zu unserem Bug Bounty Programm wenden Sie sich bitte über die GitHub Security Advisories an uns.