Program Hadiah Bug
Capgo berkomitmen pada keamanan dan transparansi. Semua code kami adalah sumber terbuka, dan kami menyambut baik para peneliti keamanan untuk membantu kami mengidentifikasi kelemahan dalam basis kode kami.
Sumber Terbuka Code
Setiap repositori di organisasi Capgo adalah sumber terbuka. Anda dapat memeriksa, mengaudit, dan berkontribusi pada code kami.
GitHub Organisasi: https://github.id/Cap-go
Capgo Belakang & Landing
Repository utama Capgo yang mencakup layanan backend dan situs web landing
Capgo CLI
Antarmuka Perintah Baris untuk mengelola Capgo dan pembaruan langsung
Capacitor Updater Plugin
Plugin Capacitor inti yang mengelola pembaruan melalui jaringan pada perangkat mobile
Persyaratan untuk Laporan yang Valid
Untuk memenuhi syarat program Bug Bounty, laporan Anda harus memenuhi SEMUA persyaratan berikut:
- Anda harus mengidentifikasi file dan nomor baris yang tepat di repositori GitHub di mana kelemahan tersebut ada
- Laporan Anda harus disampaikan melalui GitHub Security Advisory di repositori yang relevan
- Anda harus menyertakan deskripsi yang jelas tentang kelemahan dan dampaknya
- Anda harus menyediakan langkah-langkah yang dapat diulang untuk menunjukkan masalah tersebut
Perlu diingat: If you cannot provide the exact line of code in GitHub where the problem exists, your report will not be eligible for the Bug Bounty program. Reports must be submitted through GitHub Security Advisory only. Payments are handled via Algora.io; please create an account there so we can pay you directly on the platform.
Waktu Tanggapan dan Hormat
Kami ramah dan kami membayar untuk laporan yang valid, tetapi kami tidak dapat bekerja sama dengan orang-orang yang tidak menghargai waktu kami. Silakan menjaga komunikasi yang tenang dan mengikuti program ini.
- Kami akan menanggapi laporan keamanan dan insiden dalam waktu 24-72 jam.
- Jangan spam kami. Lebih dari tiga email dalam satu hari dianggap spam dan akan diblokir.
- Kami tidak membayar laporan yang melanggar aturan-aturan ini atau spam.
- Hanya laporan yang terkait dan mengikuti program bug bounty ini yang diterima; apapun yang lain mungkin diblokir.
- Jangan bertanya tentang status update seperti "apakah sudah dicek?" atau pertanyaan serupa. Setelah kami konfirmasi bahwa laporan Anda diterima, itu sudah cukup. Setelah itu, masih ada pekerjaan yang signifikan untuk dilakukan, dan membuat pull request dapat memakan waktu beberapa hari.
Penting: Pembayaran hanya diterbitkan setelah kami mengidentifikasi masalah, memperbaikinya, membuka pull request, dan Anda telah memverifikasi bahwa perbaikan tersebut berfungsi setelah rilis. Proses ini biasanya memakan waktu antara 20 dan 30 hari. Silakan tidak mengirim pesan seperti "untuk mendapatkan pembayaran"; pembayaran hanya terjadi setelah rilis dan Anda telah menguji dan memvalidasi perbaikan.
Cara Melaporkan
- Navigasikan ke repository yang relevan di GitHub
- Klik tab "Keamanan"
- Klik "Laporkan kelemahan keamanan" untuk membuat advisory keamanan baru
- Masukkan jalur file dan nomor baris yang tepat di mana kelemahan tersebut ada
- Berikan langkah-langkah detail untuk mereproduksi masalah dan jelaskan dampak keamanan
Di Luar Lingkup
- Laporan tanpa referensi garis code yang tepat di GitHub
- Laporan yang tidak disampaikan melalui GitHub Advisory Keamanan
- Vulnerabilitas teoritis tanpa konsep bukti
- Bug di platform, dependensi, atau layanan pihak ketiga yang Capgo tidak bisa memperbaiki secara langsung (laporkan ke atas, misalnya ke Supabase)
- Upaya penipuan atau phishing
- Serangan denial of service
Supabase dan Jasa Pihak Ketiga
Jika penyebab utama adalah bug platform atau layanan Supabase, laporkan ke Supabase, bukan Capgo. Jika logika, SQL, RPC, kebijakan RLS, fungsi Edge, atau konfigurasi yang dibuat atau dipilih oleh Capgo dan kita bisa memperbaikinya di proyek kita, maka itu masih dalam lingkup bahkan ketika Supabase menyajikan endpoint. Untuk temuan tentang perilaku Supabase sendiri, termasuk kasus yang dapat diulang dan pengaturan Supabase yang tepat atau perubahan konfigurasi yang mencegahnya di proyek yang disesuaikan dengan kita.
Contoh
Tidak valid di sini
- Bug platform Supabase, gangguan, atau perilaku yang hanya dapat diperbaiki oleh Supabase
- Hal yang tidak bisa Anda reproduksi
- A claim that blames Capgo for Supabase behavior without showing a Capgo-controlled fix or the exact Supabase setting/config change
Sah di sini
- A Capgo-controlled Supabase misconfiguration we can fix in our project settings (with steps)
- A Capgo-owned SQL, RPC, RLS, function, or integration issue that causes insecure Supabase usage
- A reproducible issue in Capgo's Supabase project, schema, or policies, even if it is exposed through a Supabase endpoint
Keterbatasan Autentikasi Supabase (Sudah Dilaporkan)
Some findings are repeatedly reported and are caused by Supabase Auth defaults or platform behavior rather than Capgo code. We review these only when they can be reproduced in a shared Supabase demo project configured like ours and when the fix is a Supabase-side configuration change that does not require changing Capgo security rules. If the fix requires changing Capgo-owned SQL, RPCs, RLS policies, functions, or app logic, report it to us because that is in scope.
- Provide a reproducible case and identify the exact fix: either the Supabase setting/config change that resolves a Supabase behavior issue, or the Capgo-owned code/config object that must change.
- Perilaku verifikasi email diharapkan mengikuti pengaturan proyek Autentikasi Supabase (misalnya, apakah konfirmasi email dinonaktifkan dan autentikasi berbasis tangkapan digunakan)
- Alur perbarui kata sandi dan alur pemulihan akun mungkin tidak selalu memerlukan pengulangan atau verifikasi kata sandi lama jika Supabase Auth dikonfigurasi demikian.
- Jika masalah ada dalam daftar ini tetapi Anda dapat menunjukkan fix Supabase di proyek yang disediakan atau defek keamanan Capgo yang dimiliki secara konkrit, kami dapat mempertimbangkannya dalam skala.
Untuk pertanyaan tentang program Bug Bounty kami, silakan hubungi melalui GitHub Security Advisories.