Program Bug Bounty
Capgo berkomitmen pada keamanan dan transparansi. Semua kode kami adalah open source, dan kami menyambut peneliti keamanan untuk membantu kami mengidentifikasi kerentanan dalam basis kode kami.
Kode Open Source
Setiap repositori di organisasi Capgo adalah open source. Anda dapat meninjau, mengaudit, dan berkontribusi pada kode kami.
Organisasi GitHub: github.com/Cap-go
Capgo Backend & Landing
Repositori utama Capgo termasuk layanan backend dan situs web
Capgo CLI
Antarmuka baris perintah untuk mengelola deployment dan pembaruan langsung Capgo
Plugin Capacitor Updater
Plugin Capacitor inti yang menangani pembaruan over-the-air di perangkat mobile
Persyaratan untuk Laporan Valid
Untuk memenuhi syarat program Bug Bounty, laporan Anda harus memenuhi SEMUA persyaratan berikut:
- Anda harus mengidentifikasi file dan nomor baris yang tepat di repositori GitHub kami di mana kerentanan ada
- Laporan Anda harus diajukan melalui GitHub Security Advisory di repositori yang relevan
- Anda harus menyertakan deskripsi yang jelas tentang kerentanan dan potensi dampaknya
- Anda harus memberikan langkah-langkah yang dapat direproduksi untuk mendemonstrasikan masalah
Penting: Jika Anda tidak dapat memberikan baris kode yang tepat di GitHub di mana masalah ada, laporan Anda tidak akan memenuhi syarat untuk program Bug Bounty. Laporan harus diajukan hanya melalui GitHub Security Advisory. Pembayaran dilakukan melalui Algora.io. Buat akun di sana agar kami dapat membayar Anda langsung melalui platform.
Response Time and Respect
We are friendly and we do pay for valid reports, but we cannot work with people who do not respect our time. Please keep communication calm and follow this program.
- We respond to security reports and breaches within 24-72 hours.
- Do not spam us. More than three emails in a single day is considered spam and will be blocked.
- We do not pay for reports that ignore these rules or are spam.
- Only in-scope reports that follow this bug bounty program are accepted; anything else may be blocked.
Penting: Payments are issued only after we have identified the issue, fixed it, opened a pull request, and you have verified after release that the fix works for you. This process typically takes 3-5 days. Please do not send messages like "to get paid"; payment happens only once the release is live and you've tested and validated the fix.
Cara Melaporkan
- Navigasi ke repositori yang relevan di GitHub
- Klik tab "Security"
- Klik "Report a vulnerability" untuk membuat advisory keamanan baru
- Sertakan path file dan nomor baris yang tepat di mana kerentanan ada
- Berikan langkah-langkah detail untuk mereproduksi masalah dan jelaskan dampak keamanannya
Di Luar Cakupan
- Laporan tanpa referensi baris kode yang tepat di GitHub
- Laporan yang tidak diajukan melalui GitHub Security Advisory
- Kerentanan teoretis tanpa bukti konsep
- Masalah pada dependensi atau layanan pihak ketiga (laporkan ke upstream, mis. Supabase).
- Upaya rekayasa sosial atau phishing
- Serangan denial of service
Supabase dan Layanan Pihak Ketiga
Jika masalahnya ada di Supabase dan terkait endpoint Supabase, laporkan ke Supabase (bukan Capgo). Kami hanya menerima laporan terkait Supabase jika Anda dapat mereproduksinya dan menunjukkan perubahan pengaturan/konfigurasi Supabase yang tepat yang mencegahnya pada proyek yang dikonfigurasi seperti milik kami.
Contoh
Tidak valid di sini
- Bug platform Supabase atau outage
- Temuan yang tidak bisa direproduksi
- Klaim tanpa perubahan setting/config Supabase yang memperbaikinya
Valid di sini
- Misconfiguration yang bisa kami perbaiki di pengaturan Supabase (dengan langkah)
- Masalah integrasi Capgo yang menyebabkan penggunaan Supabase tidak aman
- Masalah yang bisa direproduksi dan diperbaiki dengan perubahan config Supabase tertentu
Untuk pertanyaan tentang program Bug Bounty kami, silakan hubungi melalui GitHub Security Advisories.