Kebijakan Keamanan

Kontak: https://github.com/Cap-go/capgo/security/advisories/new
Kanonik: https://capgo.app/security.txt

Di Capgo, kami menganggap keamanan sistem kami sebagai prioritas utama. Namun, tidak peduli seberapa besar usaha yang kami lakukan untuk keamanan sistem, masih bisa ada kerentanan yang ada.

Jika Anda menemukan kerentanan, kami ingin mengetahui tentang hal itu agar kami dapat mengambil langkah untuk mengatasinya secepat mungkin. Kami ingin meminta Anda untuk membantu kami melindungi klien dan sistem kami dengan lebih baik.

Kerentanan di luar cakupan:

• Klikjacking pada halaman yang tidak memiliki tindakan sensitif.
• Tidak terautentikasi/keluar/masuk CSRF.
• Serangan yang memerlukan MITM atau akses fisik ke perangkat pengguna.
• Serangan yang memerlukan rekayasa sosial.
• Setiap kegiatan yang dapat menyebabkan gangguan pada layanan kami (DoS).
• Masalah pemalsuan konten dan penyuntikan teks tanpa menunjukkan vektor serangan/tanpa kemampuan untuk memodifikasi HTML/CSS.
• Penyamaran Email
• DNSSEC, CAA, dan header CSP yang hilang
• Ketiadaan bendera Aman atau HTTP hanya pada cookie yang tidak sensitif
• Tautan Mati
• Enumerasi pengguna

Pedoman pengujian:

• Jangan menjalankan pemindai otomatis pada proyek pelanggan lain. Menjalankan pemindai otomatis dapat meningkatkan biaya bagi pengguna kami. Pemindai yang dikonfigurasi secara agresif mungkin tanpa sengaja mengganggu layanan, mengeksploitasi kerentanan, menyebabkan ketidakstabilan sistem atau pelanggaran, dan melanggar Ketentuan Layanan dari penyedia upstream kami. Sistem keamanan kami sendiri tidak akan dapat membedakan pengintaian yang bersifat bermusuhan dari penelitian whitehat. Jika Anda ingin menjalankan pemindai otomatis, beri tahu kami di security@capgo.app dan hanya jalankan pada proyek Capgo Anda sendiri. JANGAN menyerang proyek pelanggan lain.
• Jangan memanfaatkan kerentanan atau masalah yang telah Anda temukan, misalnya dengan mengunduh data lebih banyak dari yang diperlukan untuk menunjukkan kerentanan atau menghapus atau memodifikasi data orang lain.

Pedoman pelaporan:

• Kirim temuan Anda melalui GitHub Security Advisory kami:: https://github.com/Cap-go/capgo/security/advisories/new
• Silakan berikan informasi yang cukup untuk mereproduksi masalah tersebut, sehingga kami dapat menyelesaikannya secepat mungkin.

Pedoman pengungkapan:

• Untuk melindungi pelanggan kami, jangan mengungkapkan masalah kepada orang lain sampai kami telah meneliti, mengatasi, dan memberi tahu pelanggan yang terpengaruh.
• Jika Anda ingin membagikan penelitian Anda tentang Capgo secara publik di konferensi, di blog, atau forum publik lainnya, Anda harus membagikan draf kepada kami untuk ditinjau dan disetujui setidaknya 30 hari sebelum tanggal publikasi. Harap dicatat bahwa yang berikut ini tidak boleh disertakan:
  • Data mengenai proyek pelanggan Capgo mana pun
  • Data pelanggan Capgo
  • Informasi tentang karyawan, kontraktor, atau mitra Capgo

Apa yang kami janjikan:

• Kami akan menanggapi laporan Anda dalam waktu 7 hari kerja dengan evaluasi kami terhadap laporan tersebut dan tanggal penyelesaian yang diharapkan.
• Jika Anda telah mengikuti instruksi di atas, kami tidak akan mengambil tindakan hukum terhadap Anda sehubungan dengan laporan tersebut.
• Kami akan menangani laporan Anda dengan kerahasiaan yang ketat, dan tidak akan menyampaikan rincian pribadi Anda kepada pihak ketiga tanpa izin Anda.
• Kami akan memberi tahu Anda tentang kemajuan dalam menyelesaikan masalah tersebut.
• Dalam informasi publik mengenai masalah yang dilaporkan, kami akan mencantumkan nama Anda sebagai penemu masalah tersebut (kecuali Anda menginginkan sebaliknya).

Kami berusaha menyelesaikan semua masalah secepat mungkin, dan kami ingin berperan aktif dalam publikasi akhir mengenai masalah tersebut setelah diselesaikan.