Lompat ke konten utama
Capgo logo

Program Hadiah Bug

Capgo berkomitmen pada keamanan dan transparansi. Semua code kami berbasis sumber terbuka, dan kami menyambut para peneliti keamanan untuk membantu kami mengidentifikasi kelemahan dalam basis kode kami.

Sumber Terbuka Code

Setiap repositori di organisasi Capgo berbasis sumber terbuka. Anda dapat memeriksa, mengaudit, dan berkontribusi pada code kami.

GitHub Organisasi: github.com/Cap-go

Capgo Backend & Landing

Repository utama Capgo yang mencakup layanan backend dan situs web landing

Lihat Repository Laporkan Isu Keamanan

Capgo CLI

Antarmuka Perintah Baris untuk Mengelola Penginstalan Capgo dan Update Langsung

Lihat Repository Laporkan Isu Keamanan

Capacitor Updater Plugin

Plugin inti Capacitor yang mengelola update melalui jaringan pada perangkat mobile

Lihat Repository Laporkan Masalah Keamanan

Syarat-Syarat Laporan yang Sah

Untuk memenuhi syarat program Bug Bounty, laporan Anda harus memenuhi SEMUA syarat-syarat berikut:

  • Anda harus mengidentifikasi file dan nomor baris yang tepat di repository GitHub di mana kelemahan tersebut ada
  • Laporan Anda harus disampaikan melalui GitHub Security Advisory di repository yang relevan
  • Anda harus mencantumkan deskripsi yang jelas tentang kelemahan dan dampak potensialnya
  • Anda harus menyediakan langkah-langkah yang dapat diulang untuk menunjukkan masalah tersebut

Penting: Jika Anda tidak dapat menyediakan baris kode GitHub di code di mana masalah tersebut ada, laporan Anda tidak akan memenuhi syarat untuk program Bug Bounty. Laporan harus disampaikan melalui GitHub Security Advisory saja. Pembayaran dilakukan melalui Algora.io; silakan membuat akun di sana sehingga kami dapat membayar Anda secara langsung di platform tersebut.

Waktu Tanggapan dan Hormat

Kami ramah dan kami membayar untuk laporan yang sah, tetapi kami tidak dapat bekerja sama dengan orang-orang yang tidak menghargai waktu kami. Silakan menjaga komunikasi yang tenang dan mengikuti program ini.

  • Kami akan menanggapi laporan keamanan dan insiden dalam waktu 24-72 jam.
  • Jangan spam kami. Lebih dari tiga email dalam satu hari dianggap spam dan akan diblokir.
  • Kami tidak membayar laporan yang melanggar aturan-aturan ini atau spam.
  • Laporan yang relevan dan mengikuti program bug bounty ini saja yang diterima; laporan lain mungkin diblokir.
  • Jangan bertanya tentang status update seperti "apakah Anda sudah memeriksa?" atau pertanyaan serupa. Setelah kami mengkonfirmasi bahwa laporan Anda diterima, itu sudah cukup. Setelah itu, masih ada pekerjaan yang signifikan untuk dilakukan, dan membuat pull request dapat memakan waktu beberapa hari.

Penting: Pembayaran hanya diterbitkan setelah kami mengidentifikasi masalah, memperbaikinya, membuat pull request, dan Anda telah memverifikasi setelah rilis bahwa perbaikan tersebut berfungsi untuk Anda. Proses ini biasanya memakan waktu antara 20 dan 30 hari. Silakan tidak mengirim pesan seperti "untuk mendapatkan pembayaran"; pembayaran hanya terjadi setelah rilis hidup dan Anda telah menguji dan memvalidasi perbaikan.

Cara Melaporkan

  1. Navigasikan ke repositori yang relevan di GitHub
  2. Klik tab "Keamanan"
  3. Klik "Laporkan kelemahan keamanan" untuk membuat advisory keamanan baru
  4. Masukkan jalur file dan nomor baris yang tepat di mana kelemahan keamanan ada
  5. Berikan langkah-langkah detail untuk mengulangi masalah dan jelaskan dampak keamanan

Di Luar Lingkup

  • Laporan tanpa referensi garis code yang tepat di GitHub
  • Laporan yang tidak disampaikan melalui GitHub Security Advisory
  • Vulnerabilitas teoritis tanpa bukti konsep
  • Bug di platform, dependensi, atau layanan pihak ketiga yang Capgo tidak bisa memperbaiki secara langsung (laporkan ke atas, misalnya ke Supabase).
  • Pengintaian sosial atau upaya penipuan
  • Penghancuran layanan

Supabase dan Layanan Pihak Ketiga

Jika penyebab utama adalah bug platform atau layanan Supabase, laporkan ke Supabase, bukan Capgo. Jika logika yang rentan, SQL, RPC, kebijakan RLS, fungsi Edge, atau konfigurasi dipilih oleh Capgo dan kita bisa memperbaikinya di proyek kita, maka itu masuk lingkup bahkan ketika Supabase menyediakan endpoint. Untuk temuan tentang perilaku Supabase sendiri, termasuk kasus yang dapat diulang dan pengaturan Supabase yang tepat atau perubahan konfigurasi yang mencegahnya di proyek yang disesuaikan dengan kita.

Contoh

Tidak valid di sini

  • Bug platform Supabase, gangguan, atau perilaku yang hanya bisa diperbaiki oleh Supabase
  • A halaman yang tidak dapat direproduksi
  • A claim that blames Capgo for Supabase behavior without showing a Capgo-controlled fix or the exact Supabase setting/config change

Valid di sini

  • A Capgo-controlled Supabase misconfiguration we can fix in our project settings (with steps)
  • A Capgo-owned SQL, RPC, RLS, function, or integration issue that causes insecure Supabase usage
  • A reproducible issue in Capgo's Supabase project, schema, or policies, even if it is exposed through a Supabase endpoint

Keterbatasan Autentikasi Supabase yang Dikenal (Sudah Dilaporkan)

Some findings are repeatedly reported and are caused by Supabase Auth defaults or platform behavior rather than Capgo code. We review these only when they can be reproduced in a shared Supabase demo project configured like ours and when the fix is a Supabase-side configuration change that does not require changing Capgo security rules. If the fix requires changing Capgo-owned SQL, RPCs, RLS policies, functions, or app logic, report it to us because that is in scope.

  • Provide a reproducible case and identify the exact fix: either the Supabase setting/config change that resolves a Supabase behavior issue, or the Capgo-owned code/config object that must change.
  • Perilaku verifikasi email diharapkan mengikuti pengaturan proyek Autentikasi Supabase (misalnya, apakah konfirmasi email diaktifkan dan autentikasi berbasis tangkapan digunakan).
  • Perbarui kata sandi dan alur pemulihan akun mungkin tidak selalu memerlukan pengulangan atau pengverifikasi kata sandi lama jika Supabase Auth dikonfigurasi demikian.
  • Jika masalah ada dalam daftar ini tetapi Anda dapat menampilkan solusi konkrit Supabase di proyek yang disediakan atau kerentanan keamanan yang dimiliki Capgo, kami dapat mempertimbangkannya dalam skop.

Untuk pertanyaan tentang program Bug Bounty kami, silakan hubungi kami melalui GitHub Security Advisories.