Skip to main content
Capgo logo

Bug Bounty Programm

Capgo setzt sich für Sicherheit und Transparenz ein. Unser gesamter Code ist Open Source, und wir begrüßen Sicherheitsforscher, die uns helfen, Schwachstellen in unserer Codebasis zu identifizieren.

Open Source Code

Jedes Repository in der Capgo Organisation ist Open Source. Sie können unseren Code überprüfen, auditieren und dazu beitragen.

GitHub Organisation: github.com/Cap-go

Capgo Backend & Landing

Haupt-Capgo-Repository einschließlich Backend-Services und Landing-Website

Repository anzeigen Sicherheitsproblem melden

Capgo CLI

Kommandozeilen-Tool zur Verwaltung von Capgo-Deployments und Live-Updates

Repository anzeigen Sicherheitsproblem melden

Capacitor Updater Plugin

Das zentrale Capacitor-Plugin für Over-the-Air-Updates auf mobilen Geräten

Repository anzeigen Sicherheitsproblem melden

Anforderungen für gültige Berichte

Um für das Bug Bounty Programm berechtigt zu sein, muss Ihr Bericht ALLE folgenden Anforderungen erfüllen:

  • Sie müssen die genaue Datei und Zeilennummer in unserem GitHub-Repository identifizieren, wo die Schwachstelle existiert
  • Ihr Bericht muss über GitHub Security Advisory im entsprechenden Repository eingereicht werden
  • Sie müssen eine klare Beschreibung der Schwachstelle und ihrer potenziellen Auswirkungen beifügen
  • Sie müssen reproduzierbare Schritte zur Demonstration des Problems angeben

Wichtig: Wenn Sie nicht die genaue Codezeile in GitHub angeben können, wo das Problem existiert, ist Ihr Bericht nicht für das Bug Bounty Programm berechtigt. Berichte müssen ausschließlich über GitHub Security Advisory eingereicht werden. Auszahlungen erfolgen über Algora.io. Bitte erstellen Sie dort ein Konto, damit wir Sie direkt über die Plattform bezahlen können.

Response Time and Respect

We are friendly and we do pay for valid reports, but we cannot work with people who do not respect our time. Please keep communication calm and follow this program.

  • We respond to security reports and breaches within 24-72 hours.
  • Do not spam us. More than three emails in a single day is considered spam and will be blocked.
  • We do not pay for reports that ignore these rules or are spam.
  • Only in-scope reports that follow this bug bounty program are accepted; anything else may be blocked.

Wichtig: Payments are issued only after we have identified the issue, fixed it, opened a pull request, and you have verified after release that the fix works for you. This process typically takes 3-5 days. Please do not send messages like "to get paid"; payment happens only once the release is live and you've tested and validated the fix.

So melden Sie

  1. Navigieren Sie zum entsprechenden Repository auf GitHub
  2. Klicken Sie auf den Tab "Security"
  3. Klicken Sie auf "Report a vulnerability" um einen neuen Security Advisory zu erstellen
  4. Geben Sie den genauen Dateipfad und die Zeilennummer(n) an, wo die Schwachstelle existiert
  5. Beschreiben Sie detailliert die Schritte zur Reproduktion und erläutern Sie die Sicherheitsauswirkungen

Außerhalb des Geltungsbereichs

  • Berichte ohne genaue Code-Zeilenreferenzen in GitHub
  • Berichte, die nicht über GitHub Security Advisory eingereicht wurden
  • Theoretische Schwachstellen ohne Proof of Concept
  • Probleme in Abhängigkeiten oder Diensten von Drittanbietern (melden Sie diese upstream, z. B. Supabase).
  • Social Engineering oder Phishing-Versuche
  • Denial of Service Angriffe

Supabase und Dienste von Drittanbietern

Wenn das Problem bei Supabase liegt und an einen Supabase-Endpunkt gebunden ist, melden Sie es an Supabase (nicht an Capgo). Supabase-bezogene Meldungen akzeptieren wir nur, wenn Sie es reproduzieren und die konkrete Supabase-Einstellung/Config-Änderung nennen koennen, die es in einem wie bei uns konfigurierten Projekt verhindert.

Beispiele

Hier nicht gueltig

  • Ein Supabase-Plattformfehler oder Ausfall
  • Ein Fund, den Sie nicht reproduzieren koennen
  • Eine Behauptung ohne die Supabase-Setting/Config-Aenderung, die es behebt

Hier gueltig

  • Eine Fehlkonfiguration, die wir in Supabase-Settings beheben koennen (mit Schritten)
  • Ein Capgo-Integrationsproblem, das unsichere Supabase-Nutzung verursacht
  • Ein reproduzierbares Problem, das durch eine konkrete Supabase-Config-Aenderung behoben wird

Bei Fragen zu unserem Bug Bounty Programm wenden Sie sich bitte über die GitHub Security Advisories an uns.