Zum Hauptinhalt springen
Capgo Logo

Bug-Bounty-Programm

Capgo ist sich der Sicherheit und Transparenz verpflichtet. Alle unsere code sind Open-Source und wir laden Sicherheitsforscher ein, uns bei der Identifizierung von Sicherheitslücken in unserem Codebase zu helfen.

Offene Quellcode Code

Jeder Repository in der Capgo Organisation ist Open-Source. Sie können unsere code überprüfen, auditen und zu ihnen beitragen.

GitHub Organisation: github.com/Cap-go

Capgo Backend & Landing

Haupt Capgo Repository einschließlich Backend-Diensten und Landing-Website

Repository anzeigen Sicherheitsproblem melden

Capgo CLI

Befehlszeileninterface für die Verwaltung von Capgo-Deployments und Live-Updates

Repository anzeigen Sicherheitsproblem melden

Capacitor-Updater-Plugin

Das Kern-Capacitor-Plugin, das über die Luft über mobile Geräte aktualisiert

Repository ansehen Sicherheitsproblem melden

Anforderungen für gültige Berichte

Um für das Bug Bounty-Programm in Frage zu kommen, muss Ihr Bericht alle folgenden Anforderungen erfüllen:

  • Sie müssen die genaue Datei und Zeilennummer in unserem GitHub-Repository angeben, an der die Schwachstelle existiert
  • Ihr Bericht muss über GitHub Security Advisory auf dem relevanten Repository eingereicht werden
  • Sie müssen eine klare Beschreibung der Schwachstelle und ihres potenziellen Auswirkungen bereitstellen
  • Sie müssen reproduzierbare Schritte bereitstellen, um das Problem zu demonstrieren

Wichtig: If Sie nicht die genaue Zeile von code in GitHub angeben können, bei der das Problem existiert, wird Ihr Bericht nicht für das Bug Bounty Programm zugelassen. Berichte müssen ausschließlich über GitHub Security Advisory eingereicht werden. Zahlungen werden über Algora.io abgewickelt; bitte erstellen Sie dort ein Konto, damit wir Ihnen direkt auf der Plattform zahlen können.

Antwortzeit und Respekt

Wir sind freundlich und zahlen für gültige Berichte, aber wir können nicht mit Menschen zusammenarbeiten, die unser Zeit nicht respektieren. Bitte halten Sie die Kommunikation ruhig und folgen Sie diesem Programm.

  • Wir beantworten Sicherheitsberichte und -brüche innerhalb von 24-72 Stunden.
  • Spammen Sie uns nicht. Mehr als drei E-Mails an einem Tag gilt als Spam und wird blockiert.
  • Wir zahlen nicht für Berichte, die diese Regeln ignorieren oder als Spam gelten.
  • Nur Berichte, die diesem Bug Bounty Programm folgen, werden akzeptiert; alles andere kann blockiert werden.
  • Bitten Sie nicht nach Status-Updates wie "haben Sie das überprüft?" oder ähnliche Fragen. Sobald wir bestätigen, dass wir Ihren Bericht erhalten haben, ist das genug. Danach ist noch viel Arbeit zu leisten, und die Erstellung eines Pull-Requests kann mehrere Tage dauern.

Wichtig: Zahlungen werden nur ausgestellt, nachdem wir das Problem identifiziert, es behoben haben, einen Pull-Request erstellt und Sie nach der Veröffentlichung bestätigt haben, dass die Reparatur funktioniert. Dieser Prozess dauert normalerweise zwischen 20 und 30 Tagen. Bitte senden Sie keine Nachrichten wie "um bezahlt zu werden"; Zahlungen erfolgen nur, wenn die Veröffentlichung live ist und Sie die Reparatur getestet und validiert haben.

Wie man einen Bericht einreicht

  1. Navigieren Sie zum relevanten Repository auf GitHub
  2. Klicken Sie auf die "Sicherheit" Registerkarte
  3. Klicken Sie auf "Melden Sie eine Sicherheitslücke" um eine neue Sicherheitsanzeige zu erstellen
  4. Inkludieren Sie den genauen Dateipfad und Zeilennummer(n), an dem die Sicherheitslücke existiert
  5. Bereitstellen Sie detaillierte Schritte, um das Problem nachzubilden und erklären Sie den Sicherheitsimpact

Außerhalb des Geltungsbereichs

  • Berichte ohne genaue code Zeilenbezeichnungen in GitHub
  • Berichte, die nicht über GitHub Sicherheitsanzeige eingereicht wurden
  • Theoretische Sicherheitslücken ohne Nachweis eines Proof of Concept
  • Fehler in dritter Partei-Plattformen, Abhängigkeiten oder Diensten, die Capgo direkt nicht beheben kann (melden Sie diese beispielsweise an Supabase).
  • Soziale Ingenieurskunst oder Phishing-Versuche
  • Dienstunterbrechungsangriffe

Supabase und Drittanbieterdienste

If der Grundursache ist ein Supabase-Plattform- oder -Dienstfehler, melden Sie ihn bei Supabase, nicht Capgo. Wenn die anfällige Logik, SQL, RPC, RLS-Politik, Edge-Funktion oder Konfiguration von Capgo erstellt oder gewählt wurde und wir sie in unserem Projekt beheben können, ist sie im Umfang, selbst wenn Supabase den Endpunkt bereitstellt. Für Befunde über Supabase-Verhaltensweisen selbst, einschließlich einer reproduzierbaren Anwendung und der genauen Supabase-Einstellung oder Konfigurationsänderung, die sie in einem Projekt konfiguriert wie unser verhindert.

Beispiele

Kein gültiger Fall hier

  • Eine Supabase-Plattformfehler, -Ausfall oder -Verhaltensweise, die nur Supabase beheben kann
  • Eine nicht reproduzierbare Befund
  • Eine Behauptung, die Supabase-Verhalten Capgo ohne Anzeige einer Capgo-gesteuerten Korrektur oder der genauen Supabase-Einstellung/Konfigurationsänderung verantwortlich macht

Gültig hier

  • Eine von Capgo gesteuerte Supabase-Miskonfiguration, die wir in unseren Projekt-Einstellungen (mit Schritten) beheben können
  • Eine von Capgo besitzene SQL, RPC, RLS, Funktion oder Integrationsproblematik, die zu unsicherem Supabase-Verhalten führt
  • Eine reproduzierbare Problematik in Capgo's Supabase-Projekt, -Schema oder -Policys, selbst wenn sie über einen Supabase-Endpunkt ausgelöst wird

Known Supabase Auth Limitations (Already Reported)

Einige Ergebnisse werden wiederholt gemeldet und werden durch Supabase Auth-Standardwerte oder Plattformverhalten verursacht und nicht durch Capgo code. Wir überprüfen diese nur, wenn sie in einem gemeinsamen Supabase-Demo-Projekt wie unserem konfiguriert werden können und wenn der Fix ein Supabase-Seitig- Konfigurationsänderung ist, die keine Änderung der Capgo Sicherheitsregeln erfordert. Wenn der Fix eine Änderung der Capgo-besitzenen SQL, RPCs, RLS-Politiken, Funktionen oder Anwendungslogik erfordert, melden Sie es uns, da dies im Umfang liegt.

  • Bereitstellen Sie einen wiederholbaren Fall und identifizieren Sie den genauen Fix: entweder die Supabase-Einstellung/Konfigurationsänderung, die ein Supabase-Verhaltensproblem behebt, oder die Capgo-besitzene code/Konfigurationsobjekt, das geändert werden muss.
  • Das E-Mail-Verifizierungsverhalten ist so zu erwarten, dass es Ihren Supabase-Auth-Projekt-Einstellungen folgt (z. B. ob die E-Mail-Bestätigung deaktiviert ist und die capture-basierte Auth verwendet wird).
  • Die Passwortsynchronisierungs- und Konto-Wiederherstellungsflüsse erfordern nicht immer die Eingabe des alten Passworts oder die erneute Verifizierung, wenn Supabase Auth so konfiguriert ist.
  • Wenn das Problem in dieser Liste ist, aber Sie können in dem bereitgestellten Projekt oder in einem konkreten Capgo-besitzenen Sicherheitsfehler einen konkreten Supabase-Seitigen Fix zeigen, können wir es im Umfang berücksichtigen.

Für Fragen zu unserem Bug Bounty-Programm wenden Sie sich bitte über unsere GitHub-Sicherheitsberichte.