Programme Bug Bounty
Capgo s'engage pour la sécurité et la transparence. Tout notre code est open source, et nous accueillons les chercheurs en sécurité pour nous aider à identifier les vulnérabilités dans notre code.
Code Open Source
Chaque dépôt de l'organisation Capgo est open source. Vous pouvez examiner, auditer et contribuer à notre code.
Organisation GitHub: github.com/Cap-go
Capgo Backend et Landing
Dépôt principal Capgo incluant les services backend et le site web
Capgo CLI
Interface en ligne de commande pour gérer les déploiements et mises à jour en direct Capgo
Plugin Capacitor Updater
Le plugin Capacitor principal qui gère les mises à jour over-the-air sur les appareils mobiles
Exigences pour les Rapports Valides
Pour être éligible au programme Bug Bounty, votre rapport doit répondre à TOUTES les exigences suivantes:
- Vous devez identifier le fichier exact et le numéro de ligne dans notre dépôt GitHub où la vulnérabilité existe
- Votre rapport doit être soumis via GitHub Security Advisory sur le dépôt concerné
- Vous devez inclure une description claire de la vulnérabilité et de son impact potentiel
- Vous devez fournir des étapes reproductibles pour démontrer le problème
Important: Si vous ne pouvez pas fournir la ligne exacte de code dans GitHub où le problème existe, votre rapport ne sera pas éligible au programme Bug Bounty. Les rapports doivent être soumis uniquement via GitHub Security Advisory. Les paiements sont effectués via Algora.io. Veuillez y créer un compte afin que nous puissions vous payer directement sur la plateforme.
Response Time and Respect
We are friendly and we do pay for valid reports, but we cannot work with people who do not respect our time. Please keep communication calm and follow this program.
- We respond to security reports and breaches within 24-72 hours.
- Do not spam us. More than three emails in a single day is considered spam and will be blocked.
- We do not pay for reports that ignore these rules or are spam.
- Only in-scope reports that follow this bug bounty program are accepted; anything else may be blocked.
Important: Payments are issued only after we have identified the issue, fixed it, opened a pull request, and you have verified after release that the fix works for you. This process typically takes 3-5 days. Please do not send messages like "to get paid"; payment happens only once the release is live and you've tested and validated the fix.
Comment Signaler
- Accédez au dépôt concerné sur GitHub
- Cliquez sur l'onglet "Security"
- Cliquez sur "Report a vulnerability" pour créer un nouvel avis de sécurité
- Incluez le chemin exact du fichier et le(s) numéro(s) de ligne où se trouve la vulnérabilité
- Fournissez des étapes détaillées pour reproduire le problème et expliquez l'impact sur la sécurité
Hors Périmètre
- Rapports sans références exactes de lignes de code dans GitHub
- Rapports non soumis via GitHub Security Advisory
- Vulnérabilités théoriques sans preuve de concept
- Problèmes dans des dépendances ou services tiers (signalez-les en amont, ex. Supabase).
- Tentatives d'ingénierie sociale ou de phishing
- Attaques par déni de service
Supabase et Services Tiers
Si le problème est côté Supabase et lié à un endpoint Supabase, signalez-le à Supabase (pas à Capgo). Nous n'acceptons les rapports liés à Supabase que si vous pouvez le reproduire et indiquer le changement exact de configuration Supabase qui l'empêche, dans un projet configuré comme le nôtre.
Exemples
Non valide ici
- Un bug de la plateforme Supabase ou une panne
- Une découverte non reproductible
- Une affirmation sans le réglage/config Supabase qui corrige
Valide ici
- Une mauvaise configuration corrigeable via les réglages Supabase (avec étapes)
- Un problème d'intégration Capgo qui entraîne un usage Supabase non sécurisé
- Un problème reproductible corrigé par un réglage/config Supabase précis
Pour toute question concernant notre programme Bug Bounty, veuillez nous contacter via GitHub Security Advisories.