Saltar al contenido principal
Capgo logo

Política de seguridad

Contacto: https://github.com/Cap-go/capgo/seguridad/advisories/new
Canonical: https://capgo.app/seguridad.txt

En Capgo, consideramos la seguridad de nuestros sistemas como prioridad número uno. Sin embargo, independientemente del esfuerzo que pongamos en la seguridad de los sistemas, todavía pueden haber vulnerabilidades presentes.

Si descubre una vulnerabilidad, nos gustaría saber sobre ella para que podamos tomar medidas para abordarla lo antes posible. Le pedimos que nos ayude a proteger mejor a nuestros clientes y nuestros sistemas.

Vulnerabilidades fuera de alcance:

  • Ataques de clickjacking en páginas sin acciones sensibles.
  • Ataques CSRF sin autenticación/inicio de sesión/cierre de sesión.
  • Ataques que requieren acceso MITM o acceso físico a un dispositivo del usuario.
  • Ataques que requieren ingeniería social.
  • Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS).
  • Problemas de falsificación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
  • Spoofeo de correo electrónico
  • Falta de encabezados DNSSEC, CAA, CSP
  • Falta de bandera Seguro o HTTP solo en cookies no sensibles
  • Enlaces muertos
  • Enumeración de usuarios
  • Informes de SSRF o suplantación de DNS contra webhooks o vista previa del sitio web. Estas características se ejecutan en infraestructura sin servidor y no pueden usarse para acceder a infraestructura privada Capgo, por lo que no son explotables en nuestro entorno.
  • Configuración de la aplicación o proyecto de propiedad del usuario code o que Capgo no posee, envía, ni controla, incluyendo archivos como capacitor.config.ts, config.capacitor.ts, código fuente de la aplicación code, y ajustes específicos del entorno.
  • Acceso a archivos de paquete Capgo o prueba de que los archivos de paquete pueden descargarse. Los archivos de paquete son activos web públicos, los usuarios están informados de esto y el acceso a ellos no se considera una violación de datos.

Limitaciones conocidas de Supabase Auth

Some findings are repeatedly reported and tied to Supabase Auth behavior. These are only treated as Supabase-side issues when they can be reproduced in a shared Supabase demo project configured like ours and when a Supabase configuration change fixes the behavior without changing Capgo security rules. If the fix requires changing Capgo-owned SQL, RPCs, RLS policies, functions, or app logic, that is a Capgo issue and should be reported to us.

  • Los informes deben incluir un proyecto de demostración de Supabase reproducible, con pasos, que coincida con nuestras configuraciones y demuestre el comportamiento.
  • Los informes deben incluir el camino de reparación exacto: ya sea el ajuste/configuración de Supabase que resuelve el comportamiento, o el objeto de configuración code propiedad de Capgo que debe cambiar.
  • Los flujos de cuenta/correo electrónico se validan contra los ajustes del proyecto de Supabase (por ejemplo, si la verificación de correo electrónico está deshabilitada y se utiliza el flujo de captura).
  • Los flujos de actualización de contraseña y correo electrónico/palabra de contraseña pueden depender de la sesión de autenticación actual de Supabase y los ajustes de re-verificación.
  • Si un proyecto de demostración demuestra una solución de reparación concreta de Supabase sin cambios de política de Capgo, o muestra un defecto concreto propiedad de Capgo, revisamos como acciónable.

Directrices de pruebas:

  • No ejecute escáneres automatizados en otros proyectos de clientes. Ejecutar escáneres automatizados puede aumentar los costos para nuestros usuarios. Los escáneres configurados agresivamente pueden interrumpir servicios, explotar vulnerabilidades, provocar inestabilidad del sistema o violar los Términos de Servicio de nuestros proveedores de upstream. Nuestros propios sistemas de seguridad no podrán distinguir la exploración hostil de la investigación blanca. Si desea ejecutar un escáner automatizado, notifíquenos en security@capgo.app y solo ejecútelo en su propio proyecto Capgo. No ataque proyectos de otros clientes.
  • No aproveche la vulnerabilidad o problema que ha descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando los datos de otras personas.

Directrices de informe:

  • Envíe sus hallazgos a través de nuestra GitHub Security Advisory: https://github.com/Cap-go/capgo/seguridad/advisories/new
  • Por favor, proporciona suficiente información para reproducir el problema, para que podamos resolverlo lo antes posible.
  • Recepcionamos y revisamos informes de seguridad para los plugins Capgo, pero las recompensas pagadas para el plugin code están limitadas a @capgo/capacitor-actualizador. Los demás plugins Capgo son gratuitos y no forman parte de nuestra oferta de producto pagada, por lo que los informes sobre ellos se revisan pero no son remunerados.

Directrices de divulgación:

  • Para proteger a nuestros clientes, no revele el problema a otros hasta que hayamos investigado, abordado y informado a nuestros clientes afectados.
  • Si desea compartir públicamente su investigación sobre Capgo en una conferencia, en un blog o en cualquier otro foro público, debe compartir un borrador con nosotros para revisión y aprobación al menos 30 días antes de la fecha de publicación. Tenga en cuenta que lo siguiente no debe incluirse:
    • Datos sobre proyectos de clientes Capgo
    • Datos de clientes Capgo
    • Información sobre empleados, contratistas o socios de Capgo

Lo que prometemos:

  • Respondemos a su informe dentro de 7 días laborables con nuestra evaluación del informe y una fecha de resolución esperada.
  • Si ha seguido las instrucciones anteriores, no tomaremos ninguna acción legal contra usted en relación con el informe.
  • We manejará su informe con estricta confidencialidad, y no pasará sus detalles personales a terceros sin su permiso.
  • Nos mantendremos informados sobre el progreso hacia la resolución del problema.
  • En la información pública concerniente al problema reportado, daremos su nombre como descubridor del problema (a menos que desee de lo contrario).
  • Si aparecen datos filtrados en los registros compartidos con nosotros, los tratamos como información de depuración utilizada para solucionar el problema, nunca como una razón para la represalia o venganza.

Nos esforzamos por resolver todos los problemas lo antes posible, y nos gustaría desempeñar un papel activo en la publicación final sobre el problema después de que se resuelva.