Política de seguridad

Contacto: https://github.com/Cap-go/capgo/seguridad/advisories/new
Canonical: https://capgo.app/security.txt

En Capgo, consideramos la seguridad de nuestros sistemas como una prioridad máxima. Sin embargo, no importa cuánto esfuerzo pongamos en la seguridad de los sistemas, todavía pueden haber vulnerabilidades presentes.

Si descubre una vulnerabilidad, nos gustaría saber sobre ella para que podamos tomar medidas para abordarla lo antes posible. Le pedimos que nos ayude a proteger mejor a nuestros clientes y nuestros sistemas.

Vulnerabilidades fuera de alcance:

• Clickjacking en páginas sin acciones sensibles.
• Ataques CSRF sin autenticación / logout / login.
• Ataques que requieren MITM o acceso físico a un dispositivo del usuario.
• Ataques que requieren ingeniería social.
• Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS).
• Problemas de falsificación de contenido y inyección de texto sin mostrar un vector de ataque / sin poder modificar HTML / CSS.
• Falsificación de correos electrónicos
• Falta de encabezados DNSSEC, CAA, CSP
• Falta de la bandera de Secure o HTTP solo en cookies no sensibles
• Enlaces muertos
• Enumeración de usuarios

Limitaciones conocidas de Supabase Auth

Algunas de las hallazgas se reportan repetidamente y están relacionadas con el comportamiento de Supabase Auth. Solo se tratan como problemas del lado de Supabase cuando se pueden reproducir en un proyecto de demostración compartido de Supabase configurado como el nuestro y cuando un cambio de configuración de Supabase resuelve el comportamiento sin cambiar las reglas de seguridad Capgo. Si el arreglo requiere cambiar la lógica de la aplicación, las políticas de RLS, las funciones, las RPCs o la SQL Capgo-propiedad, eso es un problema Capgo y debe ser reportado a nosotros.

• Los informes deben incluir un proyecto de demostración de Supabase reproducible, con pasos, que coincida con nuestras configuraciones y demuestre el comportamiento.
• Los informes deben incluir el camino de arreglo exacto: ya sea el cambio de configuración/configuración de Supabase que resuelve el comportamiento, o el objeto Capgo-propiedad code/config que debe cambiar.
• Los flujos de cuenta/correo electrónico se validan contra las configuraciones del proyecto de Supabase (por ejemplo, si la verificación de correo electrónico está deshabilitada y se utiliza el flujo de captura).
• Los flujos de contraseña y actualización de correo electrónico/electrónico pueden depender de la sesión de autenticación actual de Supabase y los ajustes de re-verificación.
• Si un proyecto de demostración demuestra un arreglo concreto de Supabase con ningún cambio de política Capgo o muestra un defecto concreto Capgo-propiedad, lo revisamos como acciónable.

Directrices de prueba:

• No corra escáneres automatizados en otros proyectos de clientes. Correr escáneres automatizados puede generar costos para nuestros usuarios. Los escáneres configurados de forma agresiva pueden provocar interrupciones de servicios, explotar vulnerabilidades, provocar inestabilidad del sistema o violar los Términos de Servicio de nuestros proveedores de upstream. Nuestros propios sistemas de seguridad no podrán distinguir entre reconocimiento hostil y investigación blanca. Si desea ejecutar un escáner automatizado, notifíquenos a security@capgo.app y solo ejecútelo en su propio proyecto Capgo.
• No aproveche la vulnerabilidad o problema que ha descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando los datos de otras personas.

Directrices de informe:

• Envíe sus hallazgos a través de nuestra GitHub Security Advisory:: https://github.com/Cap-go/capgo/security/advisories/new
• Proporcione suficiente información para reproducir el problema, para que podamos resolverlo lo antes posible.

Directrices de divulgación:

• Para proteger a nuestros clientes, no revele el problema a otros hasta que hayamos investigado, abordado y informado a nuestros clientes afectados.
• Si desea compartir su investigación sobre Capgo en una conferencia, en un blog o en cualquier otro foro público, debe compartir un borrador con nosotros para revisión y aprobación al menos 30 días antes de la fecha de publicación. Tenga en cuenta que lo siguiente no debe incluirse:
  • Información sobre cualquier proyecto de cliente Capgo
  • Capgo datos de los clientes
  • Información sobre empleados, contratistas o socios Capgo

Lo que prometemos:

• Responderemos a su informe dentro de 7 días hábiles con nuestra evaluación del informe y una fecha de resolución esperada.
• Si ha seguido las instrucciones anteriores, no tomaremos ninguna acción legal contra usted en relación con el informe.
• Manejaremos su informe con estricta confidencialidad y no pasaremos sus detalles personales a terceros sin su permiso.
• Le informaremos sobre el progreso hacia la resolución del problema.
• En la información pública sobre el problema informado, daremos su nombre como descubridor del problema (a menos que desee de lo contrario).

Nos esforzamos por resolver todos los problemas lo antes posible y queremos desempeñar un papel activo en la publicación final sobre el problema después de que se resuelva.