Saltar al contenido principal
Capgo logo

Programa de recompensa por fallos

Capgo se compromete con la seguridad y la transparencia. Todos nuestros code son de código abierto, y acogemos a los investigadores de seguridad para ayudarnos a identificar vulnerabilidades en nuestro código.

Código abierto Code

Cada repositorio en la organización Capgo es de código abierto. Puedes revisar, auditar y contribuir a nuestros code

Organización GitHub https://github.com/Cap-go

Capgo Backend & Landing

Repositorio principal de Capgo que incluye servicios de backend y sitio web de aterrizaje

Ver Repositorio Informar problema de seguridad

Capgo CLI

Interfaz de línea de comandos para administrar despliegues y actualizaciones en vivo de Capgo

Ver Repositorio Informar problema de seguridad

Capacitor Updater Plugin

El plugin de Capacitor central que maneja actualizaciones por aire en dispositivos móviles

Ver Repositorio Reportar un problema de seguridad

Requisitos para informes válidos

Para calificar para el programa de Bug Bounty, su informe debe cumplir con TODOS los siguientes requisitos:

  • Debes identificar el archivo y el número de línea exactos en nuestro repositorio GitHub donde existe la vulnerabilidad
  • Su informe debe ser presentado a través de GitHub Security Advisory en el repositorio relevante
  • Debes incluir una descripción clara de la vulnerabilidad y su impacto potencial
  • Debes proporcionar pasos reproducibles para demostrar el problema

Importante: Si no puedes proporcionar la línea exacta de code en GitHub donde existe el problema, su informe no será elegible para el programa de Bug Bounty. Los informes deben ser presentados a través de GitHub Security Advisory solo. Los pagos se manejan a través de Algora.io; por favor, crea una cuenta allí para que podamos pagaros directamente en la plataforma.

Tiempo de respuesta y respeto

Somos amigables y pagamos por informes válidos, pero no podemos trabajar con personas que no respeten nuestro tiempo. Por favor, mantén la comunicación calmada y sigue este programa.

  • Responde a los informes de seguridad y violaciones dentro de 24-72 horas.
  • No nos spamifiquen. Más de tres correos electrónicos en un solo día se considera spam y será bloqueado.
  • No pagamos informes que ignoren estas reglas o sean spam.
  • Solo se aceptan informes en el alcance de este programa de recompensa de bugs; cualquier otra cosa puede ser bloqueada.
  • No pregunte por actualizaciones de estado como "¿has revisado?" o preguntas similares. Una vez que confirmemos que recibimos su informe, eso es suficiente. Después de eso, todavía hay un trabajo significativo por hacer, y preparar una solicitud de extracción puede llevar varios días.

Importante: Los pagos se emiten solo después de que hayamos identificado el problema, lo hemos corregido, hemos abierto una solicitud de extracción y usted ha verificado después de la liberación que la corrección funciona para usted. Este proceso suele tardar entre 20 y 30 días. No envíe mensajes como "para obtener pagos"; el pago solo ocurre una vez que la liberación esté disponible y haya probado y validado la corrección.

Cómo Informar

  1. Navegue hasta el repositorio relevante en GitHub
  2. Haga clic en la pestaña "Seguridad"
  3. Haga clic en "Informar una vulnerabilidad" para crear un nuevo consejo de seguridad
  4. Incluya el camino de archivo exacto y el número de línea(s) donde existe la vulnerabilidad
  5. Proporcione pasos detallados para reproducir el problema y explique el impacto de seguridad

Fuera de alcance

  • Reportes sin referencias de línea exacta code en GitHub
  • Reportes no enviados a través de GitHub Security Advisory
  • Vulnerabilidades teóricas sin prueba de concepto
  • Errores en plataformas, dependencias o servicios de terceros que Capgo no puede solucionar directamente (informe a los proveedores, por ejemplo, a Supabase).
  • Intentos de ingeniería social o phishing
  • Ataques de denegación de servicio

Supabase y Servicios de Terceros

Si la causa raíz es un error o falla de la plataforma o servicio de Supabase, informe a Supabase, no a Capgo. Si la lógica, SQL, política de acceso de nivel de base de datos, función de borde o configuración se creó o eligió Capgo y podemos solucionarlo en nuestro proyecto, está en el alcance incluso cuando Supabase sirve el punto de conexión. Para hallazgos sobre el comportamiento de Supabase en sí mismo, incluya un caso reproducible y el ajuste de Supabase o el cambio de configuración que lo previene en un proyecto configurado como el nuestro.

Ejemplos

No válido aquí

  • Un error o falla de la plataforma de Supabase que solo Supabase puede solucionar
  • A hallazgo que no se puede reproducir
  • A claim that blames Capgo for Supabase behavior without showing a Capgo-controlled fix or the exact Supabase setting/config change

Válido aquí

  • A Capgo-controlled Supabase misconfiguration we can fix in our project settings (with steps)
  • Un problema de SQL, RPC, RLS, función o integración propiedad de Capgo que causa un uso inseguro de Supabase
  • Un problema reproducible en el proyecto de Supabase de Capgo, esquema o políticas, incluso si se expone a través de un punto final de Supabase

Limitaciones de autenticación conocidas de Supabase (ya informadas)

Algunos hallazgos se informan repetidamente y están causados por los valores por defecto de autenticación de Supabase o el comportamiento de la plataforma en lugar de Capgo code. Revisamos estos solo cuando pueden reproducirse en un proyecto de demostración de Supabase compartido configurado como el nuestro y cuando el arreglo es un cambio de configuración de Supabase que no requiere cambiar las reglas de seguridad de Capgo. Si el arreglo requiere cambiar SQL, RPCs, políticas de RLS, funciones o lógica de la aplicación propiedad de Capgo, informe sobre ello porque eso está en el alcance

  • Provide a reproducible case and identify the exact fix: either the Supabase setting/config change that resolves a Supabase behavior issue, or the Capgo-owned code/config object that must change.
  • El comportamiento de verificación de correo electrónico se espera que siga los ajustes de proyecto de autenticación de Supabase (por ejemplo, si la confirmación de correo electrónico está deshabilitada y se utiliza la autenticación basada en captura)
  • Los flujos de actualización de contraseña y recuperación de cuenta no siempre requieren la reingreso o re-verificación de la contraseña anterior si Supabase Auth está configurado de esa manera.
  • Si el problema está en esta lista pero puedes mostrar una solución concreta de Supabase en el proyecto proporcionado o un defecto de seguridad concreto Capgo-propiedad, lo consideraremos en el alcance.

Para preguntas sobre nuestro programa de Bug Bounty, por favor, comunícate a través de nuestros GitHub Seguridad de Consejos.