Política de seguridad
Contacto: https://github.com/Cap-go/capgo/security/advisories/new
Canonical: https://capgo.app/security.txt
En Capgo, consideramos la seguridad de nuestros sistemas una prioridad máxima. Sin embargo, sin importar cuánto esfuerzo pongamos en la seguridad de los sistemas, todavía pueden haber vulnerabilidades presentes.
Si descubre una vulnerabilidad, nos gustaría saber sobre ella para que podamos tomar medidas para abordarla lo antes posible. Le pedimos que nos ayude a proteger mejor a nuestros clientes y nuestros sistemas.
Vulnerabilidades fuera de alcance:
- Clickjacking en páginas sin acciones sensibles.
- CSRF sin autenticación/desconexión/inicio de sesión.
- Ataques que requieren un intermediario en la comunicación (MITM) o acceso físico a un dispositivo del usuario.
- Ataques que requieren ingeniería social.
- Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS).
- Problemas de falsificación de contenido y inyección de texto sin mostrar un vector de ataque/ sin poder modificar HTML/CSS.
- Falsificación de correos electrónicos.
- Falta de encabezados DNSSEC, CAA, CSP
- Falta de la bandera Seguro o HTTP solo en cookies no sensibles
- Enlaces muertos
- Enumeración de usuarios
- Reportes de SSRF o falsificación de DNS contra webhooks o vista previa del sitio web. Estas características se ejecutan en infraestructura sin servidor y no pueden usarse para acceder a infraestructura privada Capgo.
- La configuración de la aplicación o proyecto de usuario code o que Capgo no posee, envía, ni controla, incluyendo archivos como capacitor.config.ts, config.capacitor.ts, el código fuente de la aplicación code, y ajustes específicos del entorno.
- Acceso a los archivos de paquete Capgo o prueba de que los archivos de paquete pueden descargarse. Los archivos de paquete son activos web públicos, los usuarios están informados de esto, y el acceso a ellos no se considera una violación de datos.
Limitaciones conocidas de Autenticación de Supabase
Algunos hallazgos se informan repetidamente y se relacionan con el comportamiento de Autenticación de Supabase. Solo se tratan como problemas del lado de Supabase cuando se pueden reproducir en un proyecto de demostración compartido de Supabase configurado como el nuestro y cuando un cambio de configuración de Supabase resuelve el comportamiento sin cambiar las reglas de seguridad de Capgo. Si el arreglo requiere cambiar la lógica de la aplicación Capgo-propiedad, SQL, RPCs, políticas de RLS, funciones o lógica de la aplicación, eso es un problema de Capgo y debe informarse a nosotros.
- Los informes deben incluir un proyecto de demostración de Supabase reproducible, con pasos, que coincida con nuestros ajustes y demuestre el comportamiento.
- Los informes deben incluir el camino de arreglo exacto: ya sea el ajuste/configuración de Supabase que resuelve el comportamiento, o el objeto Capgo-propiedad code/config que debe cambiar.
- Los flujos de cuenta/correo electrónico se validan contra los ajustes del proyecto de Supabase (por ejemplo, si la verificación de correo electrónico está deshabilitada y se utiliza el flujo de captura).
- Los flujos de contraseña y actualización de correo electrónico/econtraseña pueden depender de la sesión de Autenticación de Supabase actual y los ajustes de re-verificación.
- If un proyecto de demostración demuestra una solución concreta de Supabase sin cambios en la política de Capgo, o muestra un defecto concreto propiedad de Capgo, lo revisamos como acciónable.
Directrices de pruebas:
- No ejecute escáneres automatizados en otros proyectos de clientes. Ejecutar escáneres automatizados puede aumentar los costos para nuestros usuarios. Los escáneres configurados agresivamente pueden interrumpir servicios, explotar vulnerabilidades, provocar inestabilidad del sistema o violar los Términos de Servicio de nuestros proveedores de upstream. Nuestros propios sistemas de seguridad no podrán distinguir la exploración hostil de la investigación blanca. Si desea ejecutar un escáner automatizado, notifíquenos en security@capgo.app y solo ejecútelo en su propio proyecto Capgo. No ataque proyectos de otros clientes.
- No aproveche la vulnerabilidad o problema que ha descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando los datos de otras personas.
Directrices de informe:
- Envíe sus hallazgos a través de nuestra GitHub Security Advisory:: https://github.com/Cap-go/capgo/security/advisories/new
- Proporcione suficiente información para reproducir el problema, para que podamos resolverlo lo antes posible.
- Rechazamos y revisamos informes de seguridad para los plugins de Capgo, pero las recompensas pagadas por plugins code están limitadas a @capgo/capacitor-actualizador. Otros plugins de Capgo son gratuitos y no forman parte de nuestra oferta de producto pagada, por lo que los informes sobre ellos se revisan pero no se pagan.
Directrices de divulgación:
- In orden a proteger a nuestros clientes, no revele el problema a otros hasta que hayamos investigado, abordado y informado a nuestros clientes afectados.
-
Si desea compartir públicamente su investigación sobre Capgo en una conferencia, en un blog o cualquier otro foro público, debe compartir un borrador con nosotros para revisión y aprobación al menos 30 días antes de la fecha de publicación. Tenga en cuenta que lo siguiente no debe incluirse:
- Datos relacionados con cualquier proyecto de clientes Capgo
- Datos de los clientes Capgo
- Información sobre empleados, contratistas o socios Capgo
Lo que prometemos:
- Responderemos a su informe dentro de 7 días hábiles con nuestra evaluación del informe y una fecha de resolución esperada.
- Si ha seguido las instrucciones anteriores, no tomaremos ninguna acción legal contra usted en relación con el informe.
- Manejaremos su informe con estricta confidencialidad y no pasaremos sus detalles personales a terceros sin su permiso.
- Mantendremos informado sobre el progreso hacia la resolución del problema.
- En la información pública sobre el problema informado, daremos su nombre como descubridor del problema (a menos que desee de lo contrario).
- Si los datos filtrados aparecen en los registros compartidos con nosotros, los tratamos como información de depuración utilizada para solucionar el problema, nunca como una razón para la represalia o la venganza.
Nos esforzamos por resolver todos los problemas lo antes posible, y nos gustaría desempeñar un papel activo en la publicación final sobre el problema después de que se resuelva.