Passer au contenu principal
Capgo logo

Politique de sécurité

Contactez-nous : https://github.com/Cap-go/capgo/security/advisories/new
Canonical : https://capgo.app/security.txt

À Capgo, nous considérons la sécurité de nos systèmes comme une priorité absolue. Cependant, quel que soit l'effort que nous mettons dans la sécurité des systèmes, il peut toujours y avoir des vulnérabilités présentes.

Si vous découvrez une vulnérabilité, nous aimerions en être informés afin de pouvoir prendre des mesures pour y remédier le plus rapidement possible. Nous aimerions vous demander de nous aider à mieux protéger nos clients et nos systèmes.

Vulnérabilités hors champ :

  • Protection contre le clickjacking sur les pages sans actions sensibles.
  • CSRF non authentifié / déconnexion / connexion.
  • Attaques nécessitant une attaque par le milieu (MITM) ou un accès physique à un appareil utilisateur.
  • Attaques nécessitant une ingénierie sociale.
  • Toute activité susceptible de perturber notre service (DoS).
  • Problèmes de contrefaçon de contenu et d'injection de texte sans afficher un vecteur d'attaque / sans pouvoir modifier HTML/CSS.
  • Contrefaçon d'e-mail
  • Manque de DNSSEC, CAA, CSP d'en-tête
  • Manque de Secure ou d'indicatif HTTP uniquement sur les cookies non sensibles
  • Liens morts
  • Enumeration de l'utilisateur
  • Rapports SSRF ou DNS de contrefaçon contre les webhooks ou les prévisualisations du site Web. Ces fonctionnalités fonctionnent sur une infrastructure sans serveur et ne peuvent pas être utilisées pour atteindre l'infrastructure Capgo privée, elles ne sont donc pas exploitable dans notre environnement.
  • Application ou projet de configuration utilisateur code ou qui Capgo ne possède pas, n'expédie pas, ou ne contrôle pas, y compris des fichiers comme capacitor.config.ts, config.capacitor.ts, la source de l'application code, et les paramètres spécifiques à l'environnement.
  • L'accès aux fichiers du bundle Capgo ou la preuve que les fichiers du bundle peuvent être téléchargés. Les fichiers du bundle sont des actifs web publics, les utilisateurs sont informés de cela, et l'accès à eux n'est pas considéré comme une violation de données.

Limitations connues d'Auth Supabase

Certains résultats sont signalés à plusieurs reprises et liés au comportement d'Auth Supabase. Ces problèmes ne sont traités que comme des problèmes côté Supabase lorsque ils peuvent être reproduits dans un projet de démonstration Supabase partagé configuré comme le nôtre et lorsque le changement de configuration Supabase résout le comportement sans modifier les règles de sécurité Capgo. Si la correction nécessite de modifier les SQL, RPCs, les politiques RLS, les fonctions ou la logique de l'application Capgo, cela constitue un problème Capgo et doit être signalé à nous.

  • Les rapports doivent inclure un projet de démonstration Supabase reproductible, avec les étapes, qui correspond à nos paramètres et démontre le comportement.
  • Les rapports doivent inclure le chemin de correction exact : soit le paramètre/configuration Supabase qui résout le comportement, soit l'objet Capgo-propriété code/config qui doit changer.
  • Les flux de compte/e-mail sont validés contre les paramètres du projet Supabase (par exemple, si la vérification e-mail est désactivée et le flux de capture est utilisé).
  • Les flux de mot de passe et de mise à jour du mot de passe/e-mail peuvent dépendre de la session Auth Supabase actuelle et des paramètres de re-verification.
  • If un projet de démonstration prouve une solution concrète côté Supabase sans modification de politique Capgo, ou montre un défaut Capgo-propriétaire concret, nous le révisons comme étant actionnable.

Lignes directrices de test :

  • Ne pas exécuter d'analysesurs automatiques sur d'autres projets de clients. L'exécution d'analysesurs automatiques peut entraîner des coûts supplémentaires pour nos utilisateurs. Les analysesurs configurés de manière agressive peuvent involontairement perturber les services, exploiter les vulnérabilités, entraîner une instabilité du système ou des failles de sécurité et violer les conditions d'utilisation de nos fournisseurs upstream. Nos propres systèmes de sécurité ne seront pas en mesure de distinguer la reconnaissance hostile de la recherche blanche. Si vous souhaitez exécuter un analyseur automatique, nous nous assurerons que vous nous ayez notifié à security@capgo.app et que vous n'ayez exécuté que sur votre propre projet Capgo. N'attaquez pas les projets des autres clients.
  • Ne pas tirer parti de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou en modifiant les données d'autres personnes.

Lignes directrices de rapport :

  • Soumettez vos trouvailles à travers notre GitHub Advisory de sécurité : https://github.com/Cap-go/capgo/security/advisories/new
  • Assurez-vous de fournir suffisamment d'informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible.
  • Nous acceptons et révisons les rapports de sécurité pour les plugins Capgo, mais les primes payées pour les plugins code sont limitées à @capgo/capacitor-mises à jour. Les autres plugins Capgo sont gratuits et ne font pas partie de notre offre de produit payante, nous révisons donc les rapports pour eux mais sans rémunération.

Lignes directrices de divulgation :

  • In order to protect our customers, do not reveal the problem to others until we have researched, addressed and informed our affected customers.
  • Si vous souhaitez partager vos recherches sur Capgo lors d'une conférence, dans un blog ou tout autre forum public, vous devriez nous partager un brouillon pour examen et approbation au moins 30 jours avant la date de publication. Veuillez noter que les éléments suivants ne doivent pas être inclus :
    • Les données concernant tout projet de client Capgo
    • Les données des clients Capgo
    • Les informations concernant les employés, les sous-traitants ou les partenaires Capgo

Ce que nous promettons :

  • Nous répondrons à votre rapport dans les 7 jours ouvrables avec notre évaluation du rapport et une date prévue de résolution.
  • Si vous avez suivi les instructions ci-dessus, nous ne prendrons aucune action juridique contre vous en ce qui concerne le rapport.
  • Nous traiterons votre rapport avec la plus stricte confidentialité, et ne transmettrons pas vos détails personnels à des tiers sans votre permission.
  • Nous vous tiendrons informé du progrès vers la résolution du problème.
  • Dans les informations publiques concernant le problème signalé, nous donnerons votre nom comme découvreur du problème (sauf si vous le désirez autrement).
  • Si des données sensibles apparaissent dans les journaux partagés avec nous, nous les considérons comme des informations de débogage utilisées pour résoudre le problème, jamais comme une raison de représailles ou de représailles.

Nous nous efforçons de résoudre tous les problèmes aussi rapidement que possible, et nous aimerions jouer un rôle actif dans la publication finale sur le problème après qu'il ait été résolu.