Saltar al contenido principal
Capgo logo

Política de Seguridad

Contacto: https://github.com/Cap-go/capgo/seguridad/advisories/new
Canonical: https://capgo.app/seguridad.txt

En Capgo, consideramos la seguridad de nuestros sistemas como prioridad número uno. Sin embargo, independientemente del esfuerzo que pongamos en la seguridad de los sistemas, todavía pueden haber vulnerabilidades presentes.

Si descubre una vulnerabilidad, nos gustaría saber sobre ella para que podamos tomar medidas para abordarla lo antes posible. Le pedimos que nos ayude a proteger mejor a nuestros clientes y nuestros sistemas.

Vulnerabilidades fuera de alcance:

  • Clickjacking en páginas sin acciones sensibles.
  • CSRF no autenticado / logout / login.
  • Ataques que requieren acceso MITM o físico a un dispositivo del usuario.
  • Ataques que requieren ingeniería social.
  • Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS).
  • Problemas de falsificación de contenido e inyección de texto sin mostrar un vector de ataque / sin poder modificar HTML/CSS.
  • Falsificación de correos
  • Falta de encabezados DNSSEC, CAA, CSP
  • Falta de la bandera Seguro o HTTP solo en cookies no sensibles
  • Enlaces muertos
  • Enumeración de usuarios
  • Informes de SSRF o falsificación de DNS contra webhooks o vista previa del sitio web. Estas características se ejecutan en infraestructura sin servidor y no pueden usarse para acceder a infraestructura privada Capgo, por lo que no son explotables en nuestro entorno.
  • Configuración de la aplicación o proyecto de propiedad del usuario code o que Capgo no posee, envía, controla, incluyendo archivos como capacitor.config.ts, config.capacitor.ts, código fuente de la aplicación code, y ajustes específicos del entorno.
  • Acceso a archivos de paquete Capgo o prueba de que los archivos de paquete pueden descargarse. Los archivos de paquete son activos web públicos, los usuarios están informados de esto y el acceso a ellos no se considera una violación de datos.

Limitaciones conocidas de Autenticación de Supabase

Algunas hallazgos se informan repetidamente y están relacionados con el comportamiento de Autenticación de Supabase. Solo se tratan como problemas del lado de Supabase cuando se pueden reproducir en un proyecto de demostración compartido de Supabase configurado como el nuestro y cuando un cambio de configuración de Supabase corrige el comportamiento sin cambiar las reglas de seguridad Capgo de Capgo. Si el arreglo requiere cambiar la lógica de la aplicación, políticas de SQL, RPCs, RLS, funciones o lógica de la aplicación, eso es un problema de Capgo y debe informarse a nosotros.

  • Los informes deben incluir un proyecto de demostración de Supabase reproducible, con pasos, que coincida con nuestras configuraciones y demuestre el comportamiento.
  • Reports must include the exact fix path: either the Supabase setting/config change that resolves the behavior, or the Capgo-owned code/config object that must change.
  • Los flujos de cuenta/correo se validan contra las configuraciones del proyecto de Supabase (por ejemplo, si la verificación de correo electrónico está deshabilitada y se utiliza el flujo de captura).
  • Los flujos de actualización de contraseña y correo electrónico/palabra de contraseña pueden depender de la sesión de autenticación actual de Supabase y de las configuraciones de re-verificación.
  • Si un proyecto de demostración demuestra una solución concreta de Supabase sin cambios de política de Capgo, o muestra un defecto concreto propiedad de Capgo, lo revisamos como acciónable.

Directrices de pruebas:

  • No ejecute escáneres automatizados en otros proyectos de clientes. Ejecutar escáneres automatizados puede aumentar los costos para nuestros usuarios. Los escáneres configurados agresivamente pueden interrumpir servicios, explotar vulnerabilidades, provocar inestabilidad del sistema o violar los Términos de Servicio de nuestros proveedores de upstream. Nuestros propios sistemas de seguridad no podrán distinguir la exploración hostil de la investigación blanca. Si desea ejecutar un escáner automatizado, notifíquenos en security@capgo.app y solo ejecútelo en su propio proyecto Capgo. No ataque los proyectos de otros clientes.
  • No aproveche la vulnerabilidad o problema que ha descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando los datos de otras personas.

Directrices de informe:

  • Envíe sus hallazgos a través de nuestra GitHub Security Advisory:: https://github.com/Cap-go/capgo/seguridad/advisories/new
  • Por favor proporciona suficiente información para reproducir el problema, para que podamos resolverlo lo antes posible.
  • Recepcionamos y revisamos informes de seguridad para los plugins Capgo, pero las recompensas pagadas para plugins code están limitadas a @capgo/capacitor-actualizador. Otros plugins Capgo son gratuitos y no forman parte de nuestra oferta de producto pagada, por lo que los informes sobre ellos se revisan pero no son remunerados.

Directrices de divulgación:

  • Para proteger a nuestros clientes, no revele el problema a otros hasta que hayamos investigado, abordado y informado a nuestros clientes afectados.
  • Si desea compartir públicamente su investigación sobre Capgo en una conferencia, en un blog o cualquier otro foro público, debe compartir un borrador con nosotros para revisión y aprobación al menos 30 días antes de la fecha de publicación. Tenga en cuenta que lo siguiente no debe incluirse:
    • Datos sobre proyectos de clientes Capgo
    • Datos de clientes Capgo
    • Información sobre empleados, contratistas o socios Capgo

Lo que prometemos:

  • Respondemos a su informe dentro de 7 días hábiles con nuestra evaluación del informe y una fecha de resolución esperada.
  • Si ha seguido las instrucciones anteriores, no tomaremos ninguna acción legal contra usted en relación con el informe.
  • We manejará su informe con estricta confidencialidad, y no pasará sus detalles personales a terceros sin su permiso.
  • Nos mantendremos informados sobre el progreso hacia la resolución del problema.
  • En la información pública concerniente al problema reportado, daremos su nombre como descubridor del problema (a menos que desee de lo contrario).
  • Si los datos filtrados aparecen en los registros compartidos con nosotros, los tratamos como información de depuración utilizada para solucionar el problema, nunca como una razón para la represalia o la venganza.

Nos esforzamos por resolver todos los problemas lo más rápido posible, y nos gustaría desempeñar un papel activo en la publicación final sobre el problema después de que se resuelva.