Politique de sécurité
Contact : https://github.com/Cap-go/capgo/security/advisories/new
Canonical : https://capgo.app/security.txt
À Capgo, la sécurité de nos systèmes est une priorité absolue. Cependant, quel que soit l'effort que nous mettons dans la sécurité des systèmes, il peut toujours y avoir des vulnérabilités présentes.
Si vous découvrez une vulnérabilité, nous aimerions en être informés afin de pouvoir prendre des mesures pour y remédier aussi rapidement que possible. Nous aimerions vous demander de nous aider à mieux protéger nos clients et nos systèmes.
Vulnérabilités hors champ :
- Clickjacking sur des pages sans actions sensibles.
- CSRF non authentifié / déconnexion / connexion.
- Attentes nécessitant une attaque par le milieu (MITM) ou un accès physique à un appareil utilisateur.
- Attentes nécessitant une ingénierie sociale.
- Toute activité susceptible de conduire à la perturbation de notre service (DoS).
- Problèmes de contrefaçon de contenu et d'injection de texte sans montrer un vecteur d'attaque / sans pouvoir modifier HTML/CSS.
- Contrefaçon d'e-mail
- En-têtes DNSSEC, CAA, CSP manquants
- Manque de Secure ou d'indicateur HTTP uniquement sur les cookies non sensibles
- Liens morts
- Enumeration d'utilisateur
- Rapports de SSRF ou de spoofing DNS contre les webhooks ou la prévisualisation du site Web. Ces fonctionnalités exécutent sur une infrastructure sans serveur et ne peuvent pas être utilisées pour atteindre des infrastructures Capgo privées, elles ne sont donc pas exploitable dans notre environnement.
- Configuration d'application ou de projet code détenue par l'utilisateur ou projet qui Capgo ne possède pas, n'expédie pas, ni ne contrôle, y compris des fichiers tels que capacitor.config.ts, config.capacitor.ts, source d'application code, et paramètres spécifiques à l'environnement.
- Accès aux fichiers de bundle Capgo ou preuve que les fichiers de bundle peuvent être téléchargés. Les fichiers de bundle sont des actifs web publics, les utilisateurs sont informés de cela, et l'accès à eux n'est pas considéré comme une violation de données.
Limitations connues d'Auth Supabase
Certains résultats sont signalés à plusieurs reprises et liés au comportement d'Auth Supabase. Ces problèmes ne sont traités que comme des problèmes côté Supabase lorsqu'ils peuvent être reproduits dans un projet de démonstration Supabase partagé configuré comme le nôtre et lorsqu'une modification de la configuration Supabase résout le comportement sans modifier les règles de sécurité Capgo. Si la correction nécessite une modification de la logique d'application, des politiques SQL, des RPCs, des politiques RLS ou des fonctions Capgo détenues par Capgo, cela constitue un problème Capgo et doit être signalé à nous.
- Les rapports doivent inclure un projet de démonstration Supabase reproductible, avec des étapes, qui correspond à nos paramètres et démontre le comportement.
- Les rapports doivent inclure le chemin de correction exact : soit la modification de la configuration/paramètre Supabase qui résout le comportement, soit l'objet Capgo-détenue code/config qui doit changer.
- Les flux e-mail sont validés par rapport aux paramètres du projet Supabase (par exemple, si la vérification e-mail est désactivée et si le flux de capture est utilisé).
- Les flux de mot de passe et de mise à jour de mot de passe peuvent dépendre de la session Auth Supabase actuelle et des paramètres de re-verification.
- Si un projet de démonstration prouve une correction concrète côté Supabase sans modification de politique Capgo, ou montre un défaut Capgo-propriétaire concrètement, nous le révisons comme étant actionnable.
Lignes directrices de test :
- N'effectuez pas d'analyses automatiques sur d'autres projets de clients. L'exécution d'analyses automatiques peut entraîner des coûts supplémentaires pour nos utilisateurs. Les scanners configurés de manière agressive pourraient perturber involontairement les services, exploiter les vulnérabilités, entraîner une instabilité du système ou des failles de sécurité et violer les conditions d'utilisation de nos fournisseurs upstream. Nos propres systèmes de sécurité ne pourront pas distinguer la reconnaissance hostile de la recherche blanche. Si vous souhaitez exécuter un scanner automatique, nous nous adresser à nous à security@capgo.app et n'exécutez-le que sur votre propre projet Capgo. N'attaquez pas les projets d'autres clients.
- N'exploitez pas la vulnérabilité ou le problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou en modifiant les données d'autres personnes.
Lignes directrices de signalement :
- Soumettez vos trouvailles à travers notre GitHub Advisory de sécurité : https://github.com/Cap-go/capgo/security/advisories/new
- Fournissez suffisamment d'informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible.
- Nous acceptons et examinons les rapports de sécurité pour les plugins Capgo, mais les primes payées pour le plugin code sont limitées à @capgo/capacitor-mises-à-jour. Les autres plugins Capgo sont gratuits à utiliser et ne font pas partie de notre offre de produit payante, donc les rapports pour eux sont examinés mais non rémunérés.
Lignes directrices de divulgation :
- Pour protéger nos clients, n'avouez pas le problème à d'autres avant que nous ayons mené des recherches, résolu et informé nos clients affectés.
-
Si vous souhaitez partager vos recherches sur Capgo dans une conférence, dans un blog ou tout autre forum public, vous devriez partager un brouillon avec nous pour examen et approbation au moins 30 jours avant la date de publication. Veuillez noter que les éléments suivants ne doivent pas être inclus :
- Les données concernant les projets de clients Capgo
- Les données des clients Capgo
- Les informations sur les employés, les sous-traitants ou les partenaires Capgo
Ce que nous promettons :
- Nous répondrons à votre rapport dans les 7 jours ouvrables avec notre évaluation du rapport et une date prévue de résolution.
- Si vous avez suivi les instructions ci-dessus, nous ne prendrons pas d'action juridique contre vous en ce qui concerne le rapport.
- Nous traiterons votre rapport avec la plus grande confidentialité, et ne transmettrons pas vos détails personnels à des tiers sans votre permission.
- Nous vous tiendrons informé du progrès vers la résolution du problème.
- Informations publiques concernant le problème signalé, nous donnerons votre nom comme découvreur du problème (sauf si vous le désirez autrement).
- Si des données sensibles apparaissent dans les journaux partagés avec nous, nous les traitons comme des informations de débogage utilisées pour résoudre le problème, jamais comme une raison de représailles ou de représailles.
Nous nous efforçons de résoudre tous les problèmes aussi rapidement que possible, et nous aimerions jouer un rôle actif dans la publication finale sur le problème après qu'il soit résolu.