Politique de Sécurité
Contact: https://github.com/Cap-go/capgo/security/advisories/new
Canonique: https://capgo.app/security.txt
Chez Capgo, nous considérons la sécurité de nos systèmes comme une priorité absolue. Cependant, quelle que soit l'attention que nous portons à la sécurité du système, des vulnérabilités peuvent toujours être présentes.
Si vous découvrez une vulnérabilité, nous aimerions en être informés afin de pouvoir prendre des mesures pour y remédier le plus rapidement possible. Nous vous demandons de nous aider à mieux protéger nos clients et nos systèmes.
Vulnérabilités hors périmètre :
- Détournement de clics sur les pages sans actions sensibles.
- CSRF lors de la déconnexion/connexion sans authentification.
- Attaques nécessitant une attaque de l'homme du milieu (MITM) ou un accès physique à l'appareil d'un utilisateur.
- Attaques nécessitant de l'ingénierie sociale.
- Toute activité pouvant entraîner la perturbation de notre service (DoS).
- Le détournement de contenu et les problèmes d'injection de texte sans montrer de vecteur d'attaque/sans pouvoir modifier HTML/CSS.
- Usurpation d'adresse e-mail
- Entêtes DNSSEC, CAA et CSP manquants
- Absence d'indicateur Secure ou HTTP only sur les cookies non sensibles
- Liens morts
- Énumération des utilisateurs
Directives de test :
- N'exécutez pas de scanners automatisés sur les projets d'autres clients. L'exécution de scanners automatisés peut augmenter les coûts pour nos utilisateurs. Les scanners configurés de manière agressive peuvent perturber involontairement les services, exploiter des vulnérabilités, entraîner une instabilité du système ou des failles et violer les conditions de service de nos fournisseurs. Nos propres systèmes de sécurité ne pourront pas distinguer la reconnaissance hostile de la recherche éthique. Si vous souhaitez exécuter un scanner automatisé, informez-nous à security@capgo.app et exécutez-le uniquement sur votre propre projet Capgo. N'attaquez PAS les projets d'autres clients.
- N'exploitez pas la vulnérabilité ou le problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou modifiant les données d'autres personnes.
Lignes directrices pour les rapports :
- Soumettez vos découvertes via notre GitHub Security Advisory :: https://github.com/Cap-go/capgo/security/advisories/new
- Veuillez fournir suffisamment d'informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible.
Directives de divulgation :
- Afin de protéger nos clients, ne divulguez pas le problème à d'autres personnes avant que nous ayons effectué des recherches, résolu le problème et informé nos clients concernés.
- Si vous souhaitez partager publiquement votre recherche sur Capgo lors d'une conférence, dans un blog ou tout autre forum public, vous devez partager une ébauche avec nous pour examen et approbation au moins 30 jours avant la date de publication. Veuillez noter que les éléments suivants ne doivent pas être inclus :
- Données concernant les projets des clients Capgo
- Données des clients Capgo
- Informations sur les employés, les sous-traitants ou les partenaires de Capgo
Ce que nous promettons :
- Nous répondrons à votre signalement dans un délai de 7 jours ouvrés avec notre évaluation du signalement et une date de résolution prévue.
- Si vous avez suivi les instructions ci-dessus, nous n'engagerons aucune action en justice contre vous concernant le signalement.
- Nous traiterons votre signalement en toute confidentialité et ne transmettrons pas vos informations personnelles à des tiers sans votre autorisation.
- Nous vous tiendrons informé de l'évolution vers la résolution du problème.
- Dans les informations publiques concernant le problème signalé, nous mentionnerons votre nom en tant que découvreur du problème (sauf si vous souhaitez qu'il en soit autrement).
Nous nous efforçons de résoudre tous les problèmes le plus rapidement possible et nous souhaitons jouer un rôle actif dans la publication finale sur le problème une fois qu'il est résolu.