Kebijakan Keamanan

Hubungi: https://github.com/Cap-go/capgo/security/advisories/new
Kanonical: https://capgo.app/security.txt

Di Capgo, kami memprioritaskan keamanan sistem kami. Namun, tidak peduli berapa banyak upaya kami dalam keamanan sistem, masih ada kemungkinan adanya kelemahan.

Jika Anda menemukan kelemahan, kami ingin tahu tentang hal itu agar kami dapat mengambil langkah-langkah untuk menangani hal itu secepat mungkin. Kami ingin meminta bantuan Anda untuk membantu kami melindungi klien dan sistem kami lebih baik.

Kekeliruan keamanan yang di luar lingkungan:

• Klik jacking pada halaman tanpa aksi sensitif.
• CSRF tanpa autentikasi/logout/login.
• Serangan yang memerlukan akses fisik atau akses man-in-the-middle ke perangkat pengguna.
• Serangan yang memerlukan teknik engineering sosial.
• Apapun aktivitas yang dapat menyebabkan gangguan pada layanan kami (DoS).
• Masalah konten palsu dan pengenalan teks tanpa menampilkan vektor serangan/tidak dapat mengubah HTML/CSS.
• Palsu email
• Keterlambatan DNSSEC, CAA, CSP header
• Kurangnya flag aman atau HTTP hanya pada cookie yang tidak sensitif
• Tautan mati
• Penghitungan pengguna
• Laporan SSRF atau DNS palsu terhadap webhook atau pratinjau situs web. Fitur-fitur ini berjalan di infrastruktur tanpa server dan tidak dapat digunakan untuk mencapai infrastruktur Capgo yang pribadi, sehingga tidak dapat dimanfaatkan dalam lingkungan kami.

Keterbatasan Autentikasi Supabase yang Dikenal

Beberapa temuan yang dilaporkan berulang kali dan terkait dengan perilaku Autentikasi Supabase. Temuan-temuan ini hanya dianggap sebagai masalah Supabase sendiri ketika dapat direproduksi dalam proyek demo Supabase bersamaan dan ketika perubahan konfigurasi Supabase memperbaiki perilaku tanpa mengubah aturan keamanan Capgo. Jika perbaikan memerlukan perubahan SQL, RPC, kebijakan RLS, fungsi, atau logika aplikasi Capgo, maka itu adalah masalah keamanan Capgo dan harus dilaporkan kepada kami.

• Laporan harus mencakup demo proyek Supabase yang dapat direproduksi, dengan langkah-langkah, yang sesuai dengan pengaturan kami dan menunjukkan perilaku.
• Laporan harus mencakup jalur perbaikan yang tepat: entah perubahan pengaturan/konfigurasi Supabase yang memperbaiki perilaku, atau objek Capgo-dipunya code/konfigurasi yang harus berubah.
• Alur email akun divalidasi terhadap pengaturan proyek Supabase (misalnya, apakah verifikasi email dinonaktifkan dan alur tangkap digunakan).
• Alur kata sandi dan perbarui kata sandi/email mungkin bergantung pada sesi autentikasi Supabase saat ini dan pengaturan re-verifikasi.
• Jika proyek demo menunjukkan perbaikan konkrit di sisi Supabase dengan tidak ada perubahan kebijakan Capgo, atau menunjukkan defek konkrit yang dimiliki Capgo, kami akan meninjau sebagai tindakan.

Pedoman pengujian:

• Jangan menjalankan skanner otomatis pada proyek pelanggan lain. Menjalankan skanner otomatis dapat meningkatkan biaya bagi pengguna kami. Skanner yang dikonfigurasi agresif mungkin mengganggu layanan, mengeksploitasi kelemahan, menyebabkan ketidakstabilan sistem atau pelanggaran, dan melanggar Ketentuan Layanan dari penyedia upstream kami. Sistem keamanan kami sendiri tidak akan dapat membedakan rekonaisensi musuh dari penelitian putih. Jika Anda ingin menjalankan skanner otomatis, silakan menghubungi kami di security@capgo.app dan hanya jalankan pada proyek Capgo milik Anda. Jangan serang proyek pelanggan lain.
• Jangan memanfaatkan kelemahan atau masalah yang Anda temukan, misalnya dengan mengunduh data lebih dari yang diperlukan untuk menunjukkan kelemahan atau menghapus atau mengubah data orang lain.

Pedoman pelaporan:

• Kirimkan temuan Anda melalui GitHub Advisory Keamanan:: https://github.com/Cap-go/capgo/security/advisories/new
• Silakan menyediakan informasi yang cukup untuk mengulangi masalah, sehingga kami dapat menyelesaikannya secepat mungkin.

Pedoman pengungkapan:

• Ini dilakukan untuk melindungi pelanggan kami, janganlah Anda mengungkapkan masalah tersebut kepada orang lain sampai kami telah melakukan penelitian, menangani dan memberitahu pelanggan kami yang terkena dampak.
• Jika Anda ingin membagikan penelitian Anda tentang Capgo di sebuah konferensi, di blog atau forum publik lainnya, Anda harus membagikan draftnya kepada kami untuk tinjauan dan persetujuan setidaknya 30 hari sebelum tanggal publikasi.
  • Data regarding any Capgo customer projects
  • Data mengenai proyek-proyek pelanggan Capgo
  • Data pelanggan Capgo

Info mengenai karyawan, kontraktor atau mitra __CAPGO_KEEP_0__

• Apa yang kami janjikan:
• Kami akan memberikan tanggapan atas laporan Anda dalam 7 hari kerja dengan evaluasi kami atas laporan tersebut dan tanggal penyelesaian yang diharapkan.
• Jika Anda telah mengikuti instruksi di atas, kami tidak akan mengambil tindakan hukum terhadap Anda dalam hal laporan tersebut.
• Kami akan menangani laporan Anda dengan kerahasiaan yang ketat, dan tidak akan membagikan detail pribadi Anda kepada pihak ketiga tanpa izin Anda.
• Kami akan memastikan Anda terinformasi tentang kemajuan penyelesaian masalah tersebut.

Dalam informasi publik mengenai masalah yang dilaporkan, kami akan menyebutkan nama Anda sebagai penemu masalah tersebut (kecuali Anda menginginkannya lainnya).