Skip to main content
Capgo logo

Programme Bug Bounty

Capgo s'engage pour la sécurité et la transparence. Tout notre code est open source, et nous accueillons les chercheurs en sécurité pour nous aider à identifier les vulnérabilités dans notre code.

Code Open Source

Chaque dépôt de l'organisation Capgo est open source. Vous pouvez examiner, auditer et contribuer à notre code.

Organisation GitHub: github.com/Cap-go

Capgo Backend et Landing

Dépôt principal Capgo incluant les services backend et le site web

Voir le Dépôt Signaler un Problème de Sécurité

Capgo CLI

Interface en ligne de commande pour gérer les déploiements et mises à jour en direct Capgo

Voir le Dépôt Signaler un Problème de Sécurité

Plugin Capacitor Updater

Le plugin Capacitor principal qui gère les mises à jour over-the-air sur les appareils mobiles

Voir le Dépôt Signaler un Problème de Sécurité

Exigences pour les Rapports Valides

Pour être éligible au programme Bug Bounty, votre rapport doit répondre à TOUTES les exigences suivantes:

  • Vous devez identifier le fichier exact et le numéro de ligne dans notre dépôt GitHub où la vulnérabilité existe
  • Votre rapport doit être soumis via GitHub Security Advisory sur le dépôt concerné
  • Vous devez inclure une description claire de la vulnérabilité et de son impact potentiel
  • Vous devez fournir des étapes reproductibles pour démontrer le problème

Important: Si vous ne pouvez pas fournir la ligne exacte de code dans GitHub où le problème existe, votre rapport ne sera pas éligible au programme Bug Bounty. Les rapports doivent être soumis uniquement via GitHub Security Advisory. Les paiements sont effectués via Algora.io. Veuillez y créer un compte afin que nous puissions vous payer directement sur la plateforme.

Response Time and Respect

We are friendly and we do pay for valid reports, but we cannot work with people who do not respect our time. Please keep communication calm and follow this program.

  • We respond to security reports and breaches within 24-72 hours.
  • Do not spam us. More than three emails in a single day is considered spam and will be blocked.
  • We do not pay for reports that ignore these rules or are spam.
  • Only in-scope reports that follow this bug bounty program are accepted; anything else may be blocked.

Important: Payments are issued only after we have identified the issue, fixed it, opened a pull request, and you have verified after release that the fix works for you. This process typically takes 3-5 days. Please do not send messages like "to get paid"; payment happens only once the release is live and you've tested and validated the fix.

Comment Signaler

  1. Accédez au dépôt concerné sur GitHub
  2. Cliquez sur l'onglet "Security"
  3. Cliquez sur "Report a vulnerability" pour créer un nouvel avis de sécurité
  4. Incluez le chemin exact du fichier et le(s) numéro(s) de ligne où se trouve la vulnérabilité
  5. Fournissez des étapes détaillées pour reproduire le problème et expliquez l'impact sur la sécurité

Hors Périmètre

  • Rapports sans références exactes de lignes de code dans GitHub
  • Rapports non soumis via GitHub Security Advisory
  • Vulnérabilités théoriques sans preuve de concept
  • Problèmes dans les dépendances tierces (signalez-les en amont)
  • Tentatives d'ingénierie sociale ou de phishing
  • Attaques par déni de service

Pour toute question concernant notre programme Bug Bounty, veuillez nous contacter via GitHub Security Advisories.