Lompat ke konten utama
Capgo logo

Program Hadiah Bug

Capgo berkomitmen untuk keamanan dan transparansi. Semua code kami adalah sumber terbuka, dan kami menerima peneliti keamanan untuk membantu kami mengidentifikasi kelemahan dalam basis kode kami.

Open Source Code

Setiap repository di organisasi Capgo adalah sumber terbuka. Anda dapat memeriksa, mengaudit, dan berkontribusi pada code kami.

Organisasi GitHub: github.com/Cap-go

Capgo Backend & Landing

Repository utama Capgo yang mencakup layanan backend dan situs web landing

Lihat Repository Laporkan Masalah Keamanan

Plugin Capacitor Pembaruan

Plugin Capacitor inti yang mengatur pembaruan secara nirkabel pada perangkat mobile

Lihat Repository Laporkan Masalah Keamanan

Syarat-Syarat Laporan yang Sah

Untuk memenuhi syarat program Bug Bounty, laporan Anda harus memenuhi semua syarat berikut:

  • Anda harus mengidentifikasi file dan nomor baris yang tepat di repository GitHub di mana kelemahan tersebut ada
  • Laporan Anda harus disampaikan melalui GitHub Security Advisory di repository yang relevan
  • Anda harus mencantumkan deskripsi yang jelas tentang kelemahan dan dampak potensialnya
  • Anda harus menyediakan langkah-langkah yang dapat diulang untuk menunjukkan masalah tersebut

Penting: Jika Anda tidak dapat menyediakan baris kode GitHub di code di mana masalah tersebut ada, laporan Anda tidak akan memenuhi syarat untuk program Bug Bounty. Laporan harus disampaikan melalui GitHub Security Advisory saja. Pembayaran akan diurus melalui Algora.io; silakan membuat akun di sana agar kami dapat membayar Anda secara langsung di platform.

Waktu Tanggapan dan Hormat

Kami ramah dan kami membayar untuk laporan yang valid, tetapi kami tidak dapat bekerja sama dengan orang-orang yang tidak menghargai waktu kami. Silakan menjaga komunikasi tetap tenang dan mengikuti program ini.

  • Kami akan menanggapi laporan keamanan dan insiden dalam waktu 24-72 jam.
  • Jangan spam kami. Lebih dari tiga email dalam satu hari dianggap spam dan akan diblokir.
  • Kami tidak membayar laporan yang melanggar aturan atau spam.
  • Laporan yang relevan dan mengikuti program bug bounty ini saja yang diterima; laporan lainnya mungkin diblokir.
  • Jangan bertanya tentang status laporan seperti "apakah sudah dicek?" atau pertanyaan serupa. Setelah kami konfirmasi bahwa laporan Anda diterima, itu sudah cukup. Setelah itu, masih ada pekerjaan yang signifikan untuk dilakukan, dan membuat pull request dapat memakan waktu beberapa hari.

Penting: Capgo adalah perusahaan kecil yang dibootstrap, sehingga jumlah hadiah kami lebih rendah daripada program besar perusahaan lainnya. Laporan tanpa jalur eksploit yang jelas dibayar hingga $30 maksimal. Eksploit dengan dampak nyata dan dapat direproduksi pada Capgo dibayar hingga $300 maksimal. Kami menerima dan meninjau laporan keamanan untuk plugin Capgo, tetapi hadiah pembayaran untuk plugin code terbatas pada @capgo/capacitor-updater. Plugin Capgo lainnya bebas digunakan dan tidak termasuk dalam produk berbayar kami, sehingga laporan untuk mereka diterima tetapi tidak dibayar. Pembayaran hanya diterbitkan setelah kami mengidentifikasi masalah, memperbaikinya, membuat pull request, dan Anda telah memverifikasi bahwa perbaikan tersebut berfungsi setelah rilis. Proses ini biasanya memakan waktu antara 20 dan 30 hari. Silakan tidak mengirim pesan seperti "untuk mendapatkan pembayaran"; pembayaran hanya terjadi setelah rilis sudah hidup dan Anda telah menguji dan memvalidasi perbaikan.

Cara Melaporkan

  1. Navigasikan ke repositori relevan di GitHub
  2. Klik tab "Keamanan"
  3. Klik "Laporkan kelemahan" untuk membuat advisory keamanan baru
  4. Termasukkan jalur file yang tepat dan nomor baris (nomor baris) di mana kelemahan tersebut ada
  5. Berikan langkah-langkah yang rinci untuk mengulangi masalah tersebut dan jelaskan dampak keamanan

Di Luar Lingkup

  • Laporan tanpa referensi baris yang tepat di code dan GitHub
  • Laporan yang tidak disampaikan melalui GitHub Advisory Keamanan
  • Kelemahan teoretis tanpa bukti konsep bukti
  • Masalah bug di platform, dependensi, atau layanan pihak ketiga yang Capgo tidak bisa memperbaiki secara langsung (laporkan ke atas, misalnya ke Supabase)
  • Upaya penipuan atau phishing
  • Serangan jasa layanan (DoS)
  • Laporan spoofing DNS atau SSRF terhadap webhook atau tampilan pratinjau website. Fitur-fitur ini berjalan di infrastruktur serverless dan tidak bisa digunakan untuk mencapai infrastruktur Capgo yang privat, sehingga tidak bisa dimanfaatkan di lingkungan kami.
  • Konfigurasi aplikasi code atau proyek milik pengguna yang Capgo tidak miliki, kirim, atau kendalikan, termasuk file-file seperti capacitor.config.ts, config.capacitor.ts, kode sumber code, dan pengaturan spesifik lingkungan.
  • Akses ke file-file Capgo bundle atau bukti bahwa file-file bundle bisa diunduh. File-file bundle adalah aset web publik, pengguna diinformasikan tentang hal ini, dan akses ke file-file tersebut tidak dianggap sebagai pelanggaran data.

Supabase dan Layanan Pihak Ketiga

Jika penyebab utama adalah bug atau gangguan platform atau layanan Supabase, laporkan ke Supabase, bukan Capgo. Jika logika yang rentan, SQL, RPC, kebijakan RLS, fungsi Edge, atau konfigurasi dibuat atau dipilih oleh Capgo dan kami dapat memperbaikinya dalam proyek kami, maka itu masih dalam lingkup bahkan ketika Supabase menyajikan endpoint. Untuk temuan tentang perilaku Supabase sendiri, termasuk kasus yang dapat diulang dan pengaturan Supabase yang tepat atau perubahan konfigurasi yang mencegahnya dalam proyek yang disesuaikan dengan kami.

Contoh

Tidak valid di sini

  • Bug platform Supabase, gangguan, atau perilaku yang hanya dapat diperbaiki oleh Supabase
  • Temuan yang tidak dapat diulang
  • Klaim yang menuduh Capgo untuk perilaku Supabase tanpa menunjukkan perbaikan Capgo-dipantau atau pengaturan Supabase yang tepat/config perubahan

Valid di sini

  • Konfigurasi Supabase yang salah yang dapat dipantau oleh Capgo yang dapat kami perbaiki dalam pengaturan proyek kami (dengan langkah-langkah)
  • Masalah Capgo-dipantau yang menyebabkan penggunaan Supabase yang tidak aman
  • Masalah yang dapat diulang dalam proyek Supabase Capgo, skema, atau kebijakan, bahkan jika itu terbuka melalui endpoint Supabase

Keterbatasan Autentikasi Supabase yang Dikenal (Sudah Dilaporkan)

Beberapa temuan yang sering dilaporkan dan disebabkan oleh pengaturan Supabase Auth default atau perilaku platform bukan karena Capgo code. Kami memeriksa hal ini hanya ketika dapat diulang dalam proyek demo Supabase yang dapat dibagikan seperti milik kami dan ketika perbaikan adalah perubahan pengaturan Supabase sisi yang tidak memerlukan perubahan aturan keamanan Capgo. Jika perbaikan memerlukan perubahan aturan SQL, RPC, kebijakan RLS, fungsi, atau logika aplikasi Capgo-milik, laporkan ke kami karena itu dalam lingkup.

  • Berikan kasus yang dapat diulang dan identifikasi perbaikan yang tepat: baik perubahan pengaturan/config Supabase yang menyelesaikan masalah perilaku Supabase, atau objek Capgo-milik code/konfigurasi yang harus berubah.
  • Perilaku verifikasi email diharapkan mengikuti pengaturan project Supabase Auth (misalnya, apakah konfirmasi email dinonaktifkan dan autentikasi berbasis tangkap digunakan).
  • Alur pembaruan kata sandi dan pemulihan akun mungkin tidak selalu memerlukan pengulangan kata sandi lama atau verifikasi ulang jika Supabase Auth dikonfigurasi demikian.
  • Jika masalah ada dalam daftar ini tetapi Anda dapat menunjukkan perbaikan konkrit Supabase sisi dalam proyek yang disediakan atau defek keamanan Capgo-milik yang dapat diidentifikasi, kami dapat mempertimbangkannya dalam lingkup.

Untuk pertanyaan tentang program Bug Bounty kami, silakan menghubungi kami melalui GitHub Security Advisories.