Política de Seguridad

Contacto: https://github.com/Cap-go/capgo/seguridad/advisories/new
Canonical: https://capgo.app/security.txt

En Capgo, consideramos la seguridad de nuestros sistemas una prioridad máxima. Sin embargo, no importa cuánto esfuerzo pongamos en la seguridad de los sistemas, todavía pueden haber vulnerabilidades presentes.

Si descubre una vulnerabilidad, nos gustaría saber sobre ella para que podamos tomar medidas para abordarla lo antes posible. Le pedimos que nos ayude a proteger mejor a nuestros clientes y nuestros sistemas.

Vulnerabilidades fuera de alcance:

• Clickjacking en páginas sin acciones sensibles.
• CSRF no autenticado / logout / login.
• Ataques que requieren MITM o acceso físico a un dispositivo del usuario.
• Ataques que requieren ingeniería social.
• Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS).
• Problemas de falsificación de contenido y inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
• Falsificación de correos electrónicos
• Falta de encabezados DNSSEC, CAA, CSP
• Falta de la bandera Seguro o HTTP solo en cookies no sensibles
• Enlaces muertos
• Enumeración de usuarios
• Informes de SSRF o falsificación de DNS contra webhooks o vista previa del sitio web. Estas características se ejecutan en infraestructura sin servidor y no pueden usarse para acceder a infraestructura Capgo privada, por lo que no son explotables en nuestro entorno.

Limitaciones conocidas de autenticación de Supabase

Algunos hallazgos se informan repetidamente y están relacionados con el comportamiento de la autenticación de Supabase. Solo se tratan como problemas del lado de Supabase cuando se pueden reproducir en un proyecto de demostración compartida de Supabase configurado como el nuestro y cuando un cambio de configuración de Supabase resuelve el comportamiento sin cambiar las reglas de seguridad Capgo. Si el arreglo requiere cambiar la lógica de la aplicación, políticas de RLS, funciones, RPCs o SQL Capgo propiedad, eso es un problema Capgo y debe informarse a nosotros.

• Los informes deben incluir un proyecto de demostración de Supabase reproducible, con pasos, que coincida con nuestras configuraciones y demuestre el comportamiento.
• Reports must include the exact fix path: either the Supabase setting/config change that resolves the behavior, or the Capgo-owned code/config object that must change.
• Los flujos de correo electrónico se validan contra los ajustes del proyecto de Supabase (por ejemplo, si la verificación de correo electrónico está deshabilitada y se utiliza el flujo de captura).
• Los flujos de contraseña y actualización de correo electrónico pueden depender de la sesión de autenticación actual de Supabase y los ajustes de re-verificación.
• Si un proyecto de demostración demuestra una solución concreta de Supabase que no requiere ningún cambio de política Capgo, o muestra un defecto concreto propiedad de Capgo, lo revisamos como acciónable.

Directrices de prueba:

• No ejecute escáneres automatizados en otros proyectos de clientes. Ejecutar escáneres automatizados puede aumentar los costos para nuestros usuarios. Los escáneres configurados agresivamente pueden interrumpir servicios, explotar vulnerabilidades, provocar inestabilidad del sistema o violar los Términos de Servicio de nuestros proveedores de upstream. Nuestros propios sistemas de seguridad no podrán distinguir la exploración hostil de la investigación blanca. Si desea ejecutar un escáner automatizado, notifíquenos en security@capgo.app y solo ejecútelo en su propio proyecto Capgo. No ataque proyectos de otros clientes.
• No aproveche la vulnerabilidad o problema que ha descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando los datos de otras personas.

Directrices de informe:

• Envíe sus hallazgos a través de nuestra GitHub Security Advisory:: https://github.com/Cap-go/capgo/security/advisories/new
• Proporcione suficiente información para reproducir el problema, para que podamos resolverlo lo antes posible.

Directrices de divulgación:

• In orden a proteger a nuestros clientes, no revele el problema a nadie hasta que hayamos investigado, abordado y informado a nuestros clientes afectados.
• Si desea compartir públicamente su investigación sobre Capgo en una conferencia, en un blog o cualquier otro foro público, debe compartir un borrador con nosotros para revisión y aprobación al menos 30 días antes de la fecha de publicación. Por favor tenga en cuenta que lo siguiente no debe incluirse:
  • Datos relacionados con cualquier proyecto de clientes Capgo
  • Datos de los clientes Capgo
  • Información sobre empleados, contratistas o socios Capgo

Lo que prometemos:

• Respondemos a su informe dentro de 7 días laborables con nuestra evaluación del informe y una fecha esperada de resolución.
• Si ha seguido las instrucciones anteriores, no tomaremos ninguna acción legal contra usted en relación con el informe.
• Manejaremos su informe con estricta confidencialidad y no pasaremos sus detalles personales a terceros sin su permiso.
• Seguiremos informándole sobre el progreso hacia la resolución del problema.
• En la información pública sobre el problema informado, daremos su nombre como descubridor del problema (a menos que desee de lo contrario).

Nos esforzamos por resolver todos los problemas lo antes posible y nos gustaría desempeñar un papel activo en la publicación final sobre el problema después de que se resuelva.