Lompat ke konten utama
Logo Capgo

Kebijakan Keamanan

Hubungi Kami: https://github.com/Cap-go/capgo/security/advisories/new
Referensi Utama: https://capgo.app/security.txt

Di Capgo, keamanan sistem kami adalah prioritas utama kami. Namun, tidak peduli berapa banyak upaya yang kami lakukan untuk keamanan sistem, masih ada kemungkinan adanya kelemahan.

Jika Anda menemukan kelemahan, kami ingin tahu tentang hal itu agar kami dapat mengambil langkah-langkah untuk menangani hal itu secepat mungkin. Kami ingin meminta bantuan Anda untuk melindungi klien dan sistem kami lebih baik.

Kekeliruan keamanan yang tidak dalam lingkup:

  • Klikjacking pada halaman tanpa aksi sensitif.
  • CSRF tidak terautentikasi/logout/login.
  • Serangan yang memerlukan MITM atau akses fisik ke perangkat pengguna.
  • Serangan yang memerlukan engineering sosial.
  • Aktivitas apa pun yang dapat menyebabkan gangguan pada layanan kami (DoS).
  • Masalah palsu konten dan injeksi teks tanpa menampilkan vector serangan/ tidak dapat mengubah HTML/CSS.
  • Palsu email.
  • Kekurangan DNSSEC, CAA, CSP header.
  • Kekurangan flag aman atau HTTP hanya pada cookie non-sensitif.
  • Tautan mati.
  • Penghitungan pengguna.
  • SSRF atau palsu DNS laporan terhadap webhook atau pratinjau situs web. Fitur-fitur ini berjalan di infrastruktur serverless dan tidak dapat digunakan untuk mencapai infrastruktur Capgo pribadi, sehingga tidak dapat dimanfaatkan dalam lingkungan kami.
  • Aplikasi atau konfigurasi proyek code yang dimiliki pengguna atau tidak dimiliki, dikirim, atau dikontrol oleh Capgo, termasuk file seperti capacitor.config.ts, config.capacitor.ts, kode sumber code, dan pengaturan spesifik lingkungan.
  • Akses ke file-file Capgo atau bukti bahwa file-file tersebut dapat diunduh. File-file tersebut adalah aset web publik, pengguna diinformasikan tentang hal ini, dan akses ke mereka tidak dianggap sebagai pelanggaran data.

Keterbatasan Autentikasi Supabase yang Dikenal

Beberapa temuan yang sering dilaporkan dan terkait dengan perilaku Autentikasi Supabase. Hanya dianggap sebagai masalah Supabase sendiri ketika dapat direproduksi dalam proyek demo Supabase bersamaan dan ketika perubahan konfigurasi Supabase memperbaiki perilaku tanpa mengubah aturan keamanan Capgo. Jika perbaikan memerlukan perubahan SQL, RPC, kebijakan RLS, fungsi, atau logika aplikasi Capgo, maka itu adalah masalah Capgo dan harus dilaporkan kepada kami.

  • Laporan harus mencakup demo proyek Supabase yang dapat direproduksi, dengan langkah-langkah, yang sesuai dengan pengaturan kami dan menunjukkan perilaku.
  • Laporan harus mencakup jalur perbaikan yang tepat: entah perubahan pengaturan/konfigurasi Supabase yang menyelesaikan perilaku, atau objek Capgo-dimiliki code/config yang harus berubah.
  • Alur akun/aliran email divalidasi terhadap pengaturan proyek Supabase (misalnya, apakah verifikasi email dinonaktifkan dan alur tangkap digunakan).
  • Alur kata sandi dan alur perbarui kata sandi/email mungkin bergantung pada sesi Autentikasi Supabase saat ini dan pengaturan ulang verifikasi.
  • If sebuah proyek demo membuktikan perbaikan sisi Supabase yang konkret tanpa perubahan kebijakan Capgo, atau menunjukkan defek konkret yang dimiliki Capgo, kami akan meninjau hal tersebut sebagai tindakan yang dapat diambil.

Pedoman pengujian:

  • Tidak boleh menjalankan skanner otomatis pada proyek pelanggan lain. Menjalankan skanner otomatis dapat meningkatkan biaya bagi pengguna kami. Skanner yang dikonfigurasi agresif mungkin dapat mengganggu layanan, mengeksploitasi kelemahan, menyebabkan ketidakstabilan sistem, atau pelanggaran dan melanggar Ketentuan Layanan dari penyedia upstream kami. Sistem keamanan kami sendiri tidak akan dapat membedakan rekonaisansi musuh dari penelitian putih. Jika Anda ingin menjalankan skanner otomatis, silakan menghubungi kami di security@capgo.app dan hanya jalankan skanner tersebut pada proyek Capgo Anda sendiri. Janganlah menyerang proyek pelanggan lain.
  • Tidak boleh memanfaatkan kelemahan atau masalah yang ditemukan, misalnya dengan mengunduh data lebih dari yang diperlukan untuk menunjukkan kelemahan atau menghapus atau mengubah data orang lain.

Pedoman pelaporan:

  • Kirimkan temuan Anda melalui GitHub Security Advisory:: https://github.com/Cap-go/capgo/security/advisories/new
  • Silakan menyediakan informasi yang cukup untuk mengulangi masalah, sehingga kami dapat menyelesaikannya secepat mungkin.
  • Kami menerima dan meninjau laporan keamanan untuk plugin Capgo, tetapi hadiah bunga berbayar untuk plugin code terbatas pada @capgo/capacitor-updater. Plugin Capgo lainnya gratis untuk digunakan dan tidak termasuk dalam produk berbayar kami, sehingga laporan untuk mereka akan ditinjau tetapi tidak dibayar.

Pedoman pengungkapan:

  • Untuk melindungi pelanggan kami, jangan teruskan masalah ini kepada orang lain sampai kami telah melakukan penelitian, menangani, dan memberitahu pelanggan kami yang terkena dampak.
  • Jika Anda ingin membagikan penelitian Anda tentang Capgo di konferensi, blog, atau forum publik lainnya, Anda harus membagikan draftnya kepada kami untuk tinjauan dan persetujuan setidaknya 30 hari sebelum tanggal publikasi.
    • Data regarding any Capgo customer projects
    • Data tentang proyek-proyek pelanggan Capgo
    • Data pelanggan Capgo

Informasi tentang karyawan, kontraktor, atau mitra __CAPGO_KEEP_0__

  • Apa yang kami janjikan:
  • Kami akan memberikan tanggapan atas laporan Anda dalam 7 hari kerja dengan evaluasi laporan dan tanggal penyelesaian yang diharapkan.
  • Jika Anda telah mengikuti instruksi di atas, kami tidak akan mengambil tindakan hukum terhadap Anda terkait laporan ini.
  • Kami akan menangani laporan Anda dengan kerahasiaan ketat, dan tidak akan membagikan detail pribadi Anda kepada pihak ketiga tanpa izin Anda.
  • Kami akan memastikan Anda terinformasi tentang kemajuan penyelesaian masalah ini.
  • Dalam informasi publik terkait masalah yang dilaporkan, kami akan menyebutkan nama Anda sebagai penemu masalah (kecuali Anda menginginkannya lainnya).

Kami berusaha untuk menyelesaikan semua masalah secepat mungkin, dan kami ingin berperan aktif dalam publikasi akhir pada masalah setelah itu diselesaikan.