Lompat ke konten utama
Logo Capgo

Program Hadiah Bug

Capgo berkomitmen untuk keamanan dan transparansi. Semua code kami adalah sumber terbuka, dan kami menyambut para peneliti keamanan untuk membantu kami mengidentifikasi kelemahan dalam basis kode kami.

Sumber Terbuka Code

Setiap repositori di organisasi Capgo adalah sumber terbuka. Anda dapat memeriksa, mengaudit, dan berkontribusi pada code kami.

Organisasi GitHub: github.com/Cap-go

Capgo Backend & Landing

Repositori utama Capgo yang mencakup layanan backend dan situs web landing

Lihat Repositori Laporkan Masalah Keamanan

Capacitor Updater Plugin

Plugin Capacitor utama yang mengelola pembaruan secara nirkabel pada perangkat mobile

Lihat Repositori Laporkan Masalah Keamanan

Persyaratan untuk Laporan yang Sah

Untuk memenuhi syarat program Bug Bounty, laporan Anda harus memenuhi SEMUA persyaratan berikut:

  • Anda harus mengidentifikasi file dan nomor baris yang tepat di repositori GitHub di mana kelemahan tersebut ada
  • Laporan Anda harus disampaikan melalui GitHub Advisory Keamanan di repositori yang relevan
  • Anda harus mencantumkan deskripsi yang jelas tentang kelemahan dan dampak potensialnya
  • Anda harus menyediakan langkah-langkah yang dapat diulang untuk menunjukkan masalah tersebut

Penting: Jika Anda tidak dapat menyediakan baris GitHub di code di mana masalah tersebut ada, laporan Anda tidak akan memenuhi syarat untuk program Bug Bounty. Laporan harus disampaikan melalui GitHub Advisory Keamanan saja. Pembayaran akan diurus melalui Algora.io; silakan membuat akun di sana sehingga kami dapat membayar Anda secara langsung di platform tersebut.

Waktu Tanggapan dan Hormat

Kami ramah dan kami membayar untuk laporan yang valid, tetapi kami tidak dapat bekerja sama dengan orang-orang yang tidak menghargai waktu kami. Silakan menjaga komunikasi tetap tenang dan mengikuti program ini.

  • We akan merespons laporan keamanan dan insiden dalam waktu 24-72 jam.
  • Tidak spam kami. Lebih dari tiga email dalam satu hari dianggap spam dan akan diblokir.
  • Kami tidak membayar laporan yang melanggar aturan ini atau spam.
  • Hanya laporan yang relevan dan mengikuti program bug bounty ini yang diterima; apapun lainnya mungkin diblokir.
  • Tidak bertanya tentang status update seperti "apakah Anda telah memeriksa?" atau pertanyaan serupa. Setelah kami mengkonfirmasi bahwa kami telah menerima laporan Anda, itu sudah cukup. Setelah itu, masih ada pekerjaan yang signifikan untuk dilakukan, dan membuat pull request dapat memakan waktu beberapa hari.

Penting: Capgo adalah perusahaan yang dibootstrap, jadi jumlah hadiah kami lebih rendah daripada program besar perusahaan. Laporan tanpa jalur eksploitasi yang jelas dibayar hingga $30 maksimum. Eksploitasi dengan dampak nyata dan dapat direproduksi pada Capgo dibayar hingga $300 maksimum. Pembayaran hanya diterbitkan setelah kami telah mengidentifikasi masalah, memperbaikinya, membuka pull request, dan Anda telah memverifikasi setelah rilis bahwa perbaikan tersebut berfungsi untuk Anda. Proses ini biasanya memakan waktu antara 20 dan 30 hari. Silakan tidak mengirim pesan seperti "untuk mendapatkan pembayaran"; pembayaran hanya terjadi setelah rilis hidup dan Anda telah menguji dan memvalidasi perbaikan.

Cara Melaporkan

  1. Navigasikan ke repositori relevan di GitHub
  2. Klik tab "Keamanan"
  3. Klik "Laporkan kelemahan keamanan" untuk membuat advisory keamanan baru
  4. Masukkan jalur file dan nomor baris yang tepat di mana kelemahan keamanan ada
  5. Berikan langkah-langkah detail untuk mengulangi masalah dan jelaskan dampak keamanan

Tidak Dalam Lingkup

  • Laporan tanpa referensi garis code yang tepat di GitHub
  • Laporan yang tidak dikirim melalui GitHub Advisory Keamanan
  • Vulnerabilitas teoretis tanpa bukti konsep
  • Bug di platform, dependensi, atau layanan pihak ketiga yang Capgo tidak bisa memperbaiki secara langsung (laporkan ke atas, misalnya ke Supabase)
  • Pengintaian sosial atau upaya penipuan
  • Penghancuran layanan
  • Serangan jaringan layanan atau palsu DNS melawan webhook atau tampilan website. Fitur-fitur ini berjalan di infrastruktur tanpa server dan tidak bisa digunakan untuk mencapai infrastruktur Capgo yang privat, sehingga tidak bisa dimanfaatkan di lingkungan kami.

Supabase dan Layanan Pihak Ketiga

Jika penyebab utama adalah bug platform atau layanan Supabase, laporkan ke Supabase, bukan Capgo. Jika logika yang rentan, SQL, RPC, kebijakan RLS, fungsi Edge, atau konfigurasi dibuat atau dipilih oleh Capgo dan kami bisa memperbaikinya di proyek kami, maka itu masuk dalam lingkup bahkan ketika Supabase menyajikan endpoint. Untuk temuan tentang perilaku Supabase sendiri, termasuk kasus yang dapat diulangi dan pengaturan Supabase atau perubahan konfigurasi yang mencegahnya di proyek yang disesuaikan dengan kami.

Contoh

Not valid di sini

  • Masalah Supabase yang hanya dapat diperbaiki oleh Supabase sendiri
  • Masalah yang tidak dapat direproduksi
  • A claim that blames Capgo for Supabase behavior without showing a Capgo-controlled fix or the exact Supabase setting/config change

Valid di sini

  • A Capgo-controlled Supabase misconfiguration we can fix in our project settings (with steps)
  • A Capgo-owned SQL, RPC, RLS, function, or integration issue that causes insecure Supabase usage
  • A reproducible issue in Capgo's Supabase project, schema, or policies, even if it is exposed through a Supabase endpoint

Keterbatasan Autentikasi Supabase yang Dikenal (Sudah Dilaporkan)

Some findings are repeatedly reported and are caused by Supabase Auth defaults or platform behavior rather than Capgo code. We review these only when they can be reproduced in a shared Supabase demo project configured like ours and when the fix is a Supabase-side configuration change that does not require changing Capgo security rules. If the fix requires changing Capgo-owned SQL, RPCs, RLS policies, functions, or app logic, report it to us because that is in scope.

  • Provide a reproducible case and identify the exact fix: either the Supabase setting/config change that resolves a Supabase behavior issue, or the Capgo-owned code/config object that must change.
  • Perilaku verifikasi email diharapkan mengikuti pengaturan Autentikasi Supabase proyek (misalnya, apakah konfirmasi email diaktifkan dan autentikasi berbasis tangkapan digunakan).
  • Perbarui kata sandi dan alur pemulihan akun mungkin tidak selalu memerlukan pengulangan atau pengverifikasi kata sandi lama jika Supabase Auth dikonfigurasi demikian.
  • Jika masalah ada dalam daftar ini tetapi Anda dapat menampilkan solusi konkrit Supabase di proyek yang disediakan atau kerentanan keamanan Capgo yang dimiliki secara konkrit, kami dapat mempertimbangkannya dalam skop.

Untuk pertanyaan tentang program Bug Bounty kami, silakan menghubungi kami melalui GitHub Security Advisories.