Sauter au contenu principal
Logo de Capgo

Politique de sécurité

Contact : https://github.com/Cap-go/capgo/security/advisories/new
Canonical : https://capgo.app/security.txt

À Capgo, nous considérons la sécurité de nos systèmes comme une priorité absolue. Cependant, quel que soit l'effort que nous mettons dans la sécurité des systèmes, il peut toujours y avoir des vulnérabilités présentes.

Si vous découvrez une vulnérabilité, nous aimerions en être informés afin de pouvoir prendre des mesures pour y remédier aussi rapidement que possible. Nous aimerions vous demander de nous aider à mieux protéger nos clients et nos systèmes.

Vulnérabilités hors champ :

  • Les attaques de clickjacking sur des pages sans actions sensibles.
  • CSRF non authentifié / déconnexion / connexion.
  • Les attaques nécessitant une attaque par le milieu (MITM) ou un accès physique à un appareil utilisateur.
  • Les attaques nécessitant une ingénierie sociale.
  • Toute activité susceptible de perturber notre service (DoS).
  • Problèmes de contrefaçon de contenu et d'injection de texte sans afficher un vecteur d'attaque / sans pouvoir modifier HTML/CSS.
  • Contrefaçon d'e-mail.
  • Manque de DNSSEC, de CAA, de CSP d'en-tête.
  • L'absence de la bannière Secure ou HTTP only sur les cookies non sensibles.
  • Liens morts.
  • L'enumeration des utilisateurs.
  • Les rapports de SSRF ou de contrefaçon DNS contre les webhooks ou les prévisualisations du site Web. Ces fonctionnalités fonctionnent sur une infrastructure sans serveur et ne peuvent pas être utilisées pour atteindre l'infrastructure Capgo privée, elles ne sont donc pas exploitable dans notre environnement.

Limitations de l'authentification Supabase connues

Certains résultats sont signalés et liés au comportement de l'authentification Supabase. Ces problèmes ne sont traités que comme des problèmes côté Supabase lorsqu'ils peuvent être reproduits dans un projet de démonstration Supabase partagé configuré comme le nôtre et lorsqu'une modification de la configuration Supabase corrige le comportement sans modifier les règles de sécurité Capgo. Si la correction nécessite de modifier les Capgo-propriétés SQL, RPC, politiques RLS, fonctions ou logique d'application, c'est un problème côté Capgo et doit être signalé à nous.

  • Les rapports doivent inclure un projet de démonstration Supabase réprouvable, avec des étapes, qui correspond à nos paramètres et démontre le comportement.
  • Les rapports doivent inclure le chemin de correction exact : soit la modification de la configuration/paramètre Supabase qui résout le comportement, soit l'objet Capgo-propriété code/config qui doit changer.
  • Les flux de compte/e-mail sont validés par rapport aux paramètres du projet Supabase (par exemple, si la vérification e-mail est désactivée et le flux de capture est utilisé).
  • Les flux de mise à jour de mot de passe et e-mail/mot de passe peuvent dépendre des paramètres actuels de session d'authentification Supabase et de la ré-verification.
  • Si un projet de démonstration prouve une correction concrète côté Supabase sans modification de la politique Capgo, ou montre un défaut concrètement Capgo-propriété, nous le révisons comme étant actionnable.

Lignes directrices de test :

  • N'effectuez pas d'analyses automatiques sur les projets de clients tiers. L'exécution d'analyses automatiques peut entraîner des coûts supplémentaires pour nos utilisateurs. Les scanners configurés de manière agressive pourraient involontairement perturber les services, exploiter les vulnérabilités, entraîner une instabilité du système ou des failles de sécurité et violer les conditions d'utilisation de nos fournisseurs upstream. Nos propres systèmes de sécurité ne seront pas en mesure de distinguer la reconnaissance hostile de la recherche blanche. Si vous souhaitez exécuter un scanner automatique, nous vous demandons de nous contacter à security@capgo.app et de ne l'exécuter que sur votre propre projet Capgo. N'attaquez pas les projets d'autres clients.
  • N'exploitez pas la vulnérabilité ou le problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou en modifiant les données d'autres personnes.

Lignes directrices de signalement :

Lignes directrices de divulgation :

  • Pour protéger nos clients, n'annoncez pas le problème à d'autres personnes avant que nous n'ayons mené des recherches, y avons porté remède et avons informé nos clients affectés.
  • Si vous souhaitez partager vos recherches sur Capgo lors d'une conférence, dans un blog ou tout autre forum public, vous devriez partager un brouillon avec nous pour examen et approbation au moins 30 jours avant la date de publication. Notez que les éléments suivants ne doivent pas être inclus :
    • Les informations relatives à tout projet client Capgo
    • Les données de Capgo clients
    • Les informations concernant les employés, les sous-traitants ou les partenaires Capgo

Ce que nous promettons :

  • Nous répondrons à votre rapport dans les 7 jours ouvrables avec notre évaluation du rapport et une date prévue de résolution.
  • Si vous avez suivi les instructions ci-dessus, nous ne prendrons aucune action juridique contre vous en ce qui concerne le rapport.
  • Nous traiterons votre rapport avec la stricte confidentialité, et ne transmettrons pas vos informations personnelles à des tiers sans votre autorisation.
  • Nous vous tiendrons informé du progrès vers la résolution du problème.
  • Dans les informations publiques concernant le problème signalé, nous donnerons votre nom comme découvreur du problème (sauf si vous le souhaitez autrement).

Nous nous efforçons de résoudre tous les problèmes aussi rapidement que possible, et nous aimerions jouer un rôle actif dans la publication finale sur le problème une fois qu'il est résolu.