Programa Bug Bounty
Capgo está comprometido con la seguridad y la transparencia. Todo nuestro código es de código abierto, y damos la bienvenida a investigadores de seguridad para ayudarnos a identificar vulnerabilidades en nuestra base de código.
Código Abierto
Cada repositorio en la organización Capgo es de código abierto. Puede revisar, auditar y contribuir a nuestro código.
Organización GitHub: github.com/Cap-go
Capgo Backend y Landing
Repositorio principal de Capgo incluyendo servicios backend y sitio web
Capgo CLI
Interfaz de línea de comandos para gestionar implementaciones y actualizaciones en vivo de Capgo
Plugin Capacitor Updater
El plugin principal de Capacitor que maneja actualizaciones over-the-air en dispositivos móviles
Requisitos para Reportes Válidos
Para calificar para el programa Bug Bounty, su reporte debe cumplir con TODOS los siguientes requisitos:
- Debe identificar el archivo exacto y número de línea en nuestro repositorio de GitHub donde existe la vulnerabilidad
- Su reporte debe enviarse a través de GitHub Security Advisory en el repositorio correspondiente
- Debe incluir una descripción clara de la vulnerabilidad y su impacto potencial
- Debe proporcionar pasos reproducibles para demostrar el problema
Importante: Si no puede proporcionar la línea exacta de código en GitHub donde existe el problema, su reporte no será elegible para el programa Bug Bounty. Los reportes deben enviarse únicamente a través de GitHub Security Advisory. Los pagos se gestionan a través de Algora.io. Cree una cuenta allí para que podamos pagarle directamente en la plataforma.
Response Time and Respect
We are friendly and we do pay for valid reports, but we cannot work with people who do not respect our time. Please keep communication calm and follow this program.
- We respond to security reports and breaches within 24-72 hours.
- Do not spam us. More than three emails in a single day is considered spam and will be blocked.
- We do not pay for reports that ignore these rules or are spam.
- Only in-scope reports that follow this bug bounty program are accepted; anything else may be blocked.
Importante: Payments are issued only after we have identified the issue, fixed it, opened a pull request, and you have verified after release that the fix works for you. This process typically takes 3-5 days. Please do not send messages like "to get paid"; payment happens only once the release is live and you've tested and validated the fix.
Cómo Reportar
- Navegue al repositorio correspondiente en GitHub
- Haga clic en la pestaña "Security"
- Haga clic en "Report a vulnerability" para crear un nuevo aviso de seguridad
- Incluya la ruta exacta del archivo y el número de línea(s) donde existe la vulnerabilidad
- Proporcione pasos detallados para reproducir el problema y explique el impacto de seguridad
Fuera de Alcance
- Reportes sin referencias exactas de líneas de código en GitHub
- Reportes no enviados a través de GitHub Security Advisory
- Vulnerabilidades teóricas sin prueba de concepto
- Problemas en dependencias o servicios de terceros (repórtelos upstream, p. ej., Supabase).
- Intentos de ingeniería social o phishing
- Ataques de denegación de servicio
Supabase y Servicios de Terceros
Si el problema está en Supabase y está ligado a un endpoint de Supabase, repórtelo a Supabase (no a Capgo). Solo aceptamos reportes relacionados con Supabase si puede reproducirlo y mostrar el cambio exacto de configuración en Supabase que lo evita en un proyecto configurado como el nuestro.
Ejemplos
No válido aquí
- Un bug de la plataforma Supabase o una caída
- Un hallazgo que no puede reproducir
- Una afirmación sin el cambio de configuración de Supabase que lo arregla
Válido aquí
- Una mala configuración que podemos corregir en ajustes de Supabase (con pasos)
- Un problema de integración de Capgo que causa un uso inseguro de Supabase
- Un problema reproducible que se soluciona con un cambio específico de configuración de Supabase
Para preguntas sobre nuestro programa Bug Bounty, comuníquese a través de GitHub Security Advisories.