Passer au contenu principal
Capgo logo

Politique de sécurité

Contact: https://github.com/Cap-go/capgo/security/advisories/new
Canonical: https://capgo.app/security.txt

À Capgo, la sécurité de nos systèmes est une priorité absolue. Cependant, quel que soit l’effort que nous déployons pour sécuriser nos systèmes, il est toujours possible qu’il y ait des vulnérabilités présentes.

Si vous découvrez une vulnérabilité, nous aimerions en être informés afin de pouvoir prendre les mesures nécessaires pour y remédier aussi rapidement que possible. Nous vous demandons de nous aider à mieux protéger nos clients et nos systèmes.

Les vulnérabilités hors champ :

  • Les attaques de clickjacking sur des pages sans actions sensibles.
  • Les attaques CSRF non authentifiées/logout/login.
  • Les attaques nécessitant une attaque par le milieu (MITM) ou un accès physique à un appareil utilisateur.
  • Les attaques nécessitant une ingénierie sociale.
  • Toute activité susceptible de conduire à la perturbation de notre service (DoS).
  • Problèmes de contrefaçon de contenu et d'injection de texte sans afficher un vecteur d'attaque/ sans pouvoir modifier HTML/CSS.
  • Contrefaçon d'e-mail
  • Manque de DNSSEC, de CAA, de CSP d'en-tête
  • Absence de Secure ou d'indicatif HTTP uniquement sur les cookies non sensibles
  • Lien mort
  • Enumeration de l'utilisateur

Limitations connues de l'authentification Supabase

Certains résultats sont signalés à plusieurs reprises et liés au comportement de l'authentification Supabase. Ces problèmes ne sont traités que comme des problèmes côté Supabase lorsqu'ils peuvent être reproduits dans un projet de démonstration Supabase partagé configuré comme le nôtre et lorsqu'une modification de la configuration Supabase corrige le comportement sans modifier les règles de sécurité Capgo. Si la correction nécessite de modifier les SQL, les RPCs, les politiques RLS, les fonctions ou la logique de l'application Capgo, cela constitue un problème Capgo et doit être signalé à nous.

  • Les rapports doivent inclure un projet de démonstration Supabase réproducible, avec les étapes, qui correspond à nos paramètres et démontre le comportement.
  • Les rapports doivent inclure le chemin de correction exact : soit la modification de la configuration/du paramétrage Supabase qui résout le comportement, soit l'objet Capgo-propriétaire code/config qui doit changer.
  • Les flux de compte/e-mail sont validés par rapport aux paramètres du projet Supabase (par exemple, si la vérification e-mail est désactivée et que le flux de capture est utilisé).
  • Les flux de mot de passe et de mise à jour de mot de passe/e-mail peuvent dépendre de la session d'authentification Supabase actuelle et des paramètres de re-vérification.
  • If un projet de démonstration prouve une solution concrète pour Supabase sans modification de politique Capgo ou montre un défaut concrètement Capgo-propriétaire, nous le révisons comme étant actionnable.

Lignes directrices de test :

  • Ne pas exécuter d'analysesurs automatiques sur d'autres projets de clients. L'exécution d'analysesurs automatiques peut augmenter les coûts pour nos utilisateurs. Des analysesurs configurés de manière agressive peuvent involontairement perturber les services, exploiter les vulnérabilités, entraîner une instabilité du système ou des fuites de données et violer les Conditions d'utilisation de nos fournisseurs upstream. Nos propres systèmes de sécurité ne seront pas en mesure de distinguer la reconnaissance hostile de la recherche blanche. Si vous souhaitez exécuter un analyseur automatique, nous nous joindre à security@capgo.app et n'exécutez-le que sur votre propre projet Capgo. N'attaquez pas les projets d'autres clients.
  • Ne pas tirer parti de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou en modifiant les données d'autres personnes.

Lignes directrices de signalement :

  • Soumettez vos trouvailles à travers notre GitHub Advisory de sécurité : https://github.com/Cap-go/capgo/security/advisories/new
  • Assurez-vous de fournir suffisamment d'informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible.

Lignes directrices de divulgation :

  • Pour protéger nos clients, ne révélez pas le problème à d'autres personnes avant que nous n'ayons mené des recherches, résolu le problème et informé nos clients affectés.
  • If vous souhaitez partager publiquement vos recherches sur Capgo lors d'une conférence, dans un blog ou tout autre forum public, vous devriez partager un brouillon avec nous pour examen et approbation au moins 30 jours avant la date de publication. Veuillez noter que les éléments suivants ne doivent pas être inclus :
    • Les données concernant les projets de clients Capgo
    • Les données des clients Capgo
    • Les informations sur les employés, les sous-traitants ou les partenaires Capgo

Ce que nous promettons :

  • Nous répondrons à votre rapport dans les 7 jours ouvrables avec notre évaluation du rapport et une date prévue de résolution.
  • Si vous avez suivi les instructions ci-dessus, nous ne prendrons aucune action juridique contre vous en ce qui concerne le rapport.
  • Nous traiterons votre rapport avec la plus stricte confidentialité, et ne transmettrons pas vos informations personnelles à des tiers sans votre permission.
  • Nous vous tiendrons informé du progrès vers la résolution du problème.
  • Dans les informations publiques concernant le problème signalé, nous donnerons votre nom comme découvreur du problème (sauf si vous le désirez autrement).

Nous nous efforçons de résoudre tous les problèmes aussi rapidement que possible, et nous aimerions jouer un rôle actif dans la publication finale sur le problème après qu'il soit résolu.