Kebijakan Keamanan

Kontak: https://github.com/Cap-go/capgo/security/advisories/new
Kanonical: https://capgo.app/security.txt

Di Capgo, keamanan sistem kami adalah prioritas utama kami. Namun, tidak peduli berapa banyak upaya kami dalam keamanan sistem, masih ada kemungkinan adanya kelemahan.

Jika Anda menemukan kelemahan, kami ingin tahu tentang hal itu agar kami dapat mengambil langkah-langkah untuk menangani hal itu secepat mungkin. Kami ingin meminta Anda untuk membantu kami melindungi klien dan sistem kami lebih baik.

Vulnerabilitas di luar lingkup:

• Klikjacking pada halaman tanpa aksi sensitif.
• Serangan CSRF tanpa autentikasi/logout/login.
• Serangan yang memerlukan MITM atau akses fisik ke perangkat pengguna.
• Serangan yang memerlukan teknik social engineering.
• Aktivitas apa pun yang dapat menyebabkan gangguan pada layanan kami (DoS).
• Masalah palsu konten dan injeksi teks tanpa menampilkan vektor serangan/ tanpa dapat mengubah HTML/CSS.
• Palsu email.
• Kekurangan DNSSEC, CAA, CSP header.
• Kekurangan flag aman atau HTTP hanya pada cookie non-sensitif.
• Tautan mati.
• Penghitungan pengguna.
• Laporan SSRF atau DNS palsu terhadap webhook atau tampilan website. Fitur-fitur ini berjalan di infrastruktur serverless dan tidak dapat digunakan untuk mencapai infrastruktur Capgo pribadi, sehingga tidak dapat dimanfaatkan dalam lingkungan kami.

Keterbatasan Autentikasi Supabase yang Dikenal

Beberapa temuan yang sering dilaporkan dan terkait dengan perilaku Autentikasi Supabase. Temuan-temuan ini hanya dianggap sebagai masalah Supabase sendiri ketika dapat direproduksi dalam proyek demo Supabase bersamaan dan ketika perubahan pengaturan Supabase dapat memperbaiki perilaku tanpa mengubah aturan keamanan Capgo yang dilindungi. Jika perbaikan memerlukan perubahan SQL, RPC, kebijakan RLS, fungsi, atau logika aplikasi Capgo, maka itu adalah masalah Capgo dan harus dilaporkan kepada kami.

• Laporan harus mencakup demo proyek Supabase yang dapat direproduksi, dengan langkah-langkah, yang sesuai dengan pengaturan kami dan menunjukkan perilaku.
• Laporan harus mencakup jalur perbaikan yang tepat: entah perubahan pengaturan/config Supabase yang dapat memperbaiki perilaku, atau objek Capgo-owned code/konfigurasi yang harus diubah.
• Alur akun/email divalidasi terhadap pengaturan proyek Supabase (misalnya, apakah verifikasi email dinonaktifkan dan alur tangkap digunakan).
• Alur kata sandi dan perbarui kata sandi/email mungkin bergantung pada sesi Autentikasi Supabase saat ini dan pengaturan ulang verifikasi.
• Jika proyek demo membuktikan perbaikan konkrit Supabase-side dengan tidak ada perubahan kebijakan Capgo, atau menunjukkan kecacatan konkrit Capgo-owned, kami akan meninjaunya sebagai tindakan.

Pedoman pengujian:

• Jangan menjalankan skanner otomatis pada proyek pelanggan lain. Menjalankan skanner otomatis dapat meningkatkan biaya untuk pengguna kami. Skanner yang dikonfigurasi agresif mungkin tidak sengaja mengganggu layanan, mengeksploitasi kelemahan, menyebabkan ketidakstabilan sistem atau pelanggaran dan melanggar Syarat dan Ketentuan dari penyedia upstream kami. Sistem keamanan kami sendiri tidak akan dapat membedakan rekonaisensi musuh dari penelitian putih. Jika Anda ingin menjalankan skanner otomatis, notifikasi kami di security@capgo.app dan hanya jalankan pada proyek Capgo Anda sendiri. JANGAN menyerang proyek pelanggan lain.
• Jangan memanfaatkan kelemahan atau masalah yang Anda temukan, misalnya dengan mengunduh data lebih dari yang diperlukan untuk menunjukkan kelemahan atau menghapus atau mengubah data orang lain.

Pedoman pelaporan:

• Kirimkan temuan Anda melalui GitHub Advisory Keamanan:: https://github.com/Cap-go/capgo/security/advisories/new
• Silakan menyediakan informasi yang cukup untuk mengulangi masalah, sehingga kami dapat menyelesaikannya secepat mungkin.

Pedoman pelaporan kelemahan:

• Untuk melindungi pelanggan kami, jangan mengungkapkan masalah kepada orang lain sampai kami telah melakukan penelitian, menangani dan memberitahu pelanggan kami yang terkena.
• Jika Anda ingin membagikan penelitian Anda tentang Capgo di konferensi, di blog atau forum publik lainnya, Anda harus membagikan draft kepada kami untuk tinjauan dan persetujuan setidaknya 30 hari sebelum tanggal publikasi. Perlu diingat bahwa hal-hal berikut tidak boleh termasuk:
  • Data mengenai proyek-proyek pelanggan Capgo
  • Data pelanggan Capgo
  • Informasi tentang karyawan, kontraktor, atau mitra Capgo

Apa yang kita janjikan:

• Kami akan merespons laporan Anda dalam 7 hari kerja dengan evaluasi kami atas laporan dan tanggal penyelesaian yang diharapkan.
• Jika Anda telah mengikuti instruksi di atas, kami tidak akan mengambil tindakan hukum terhadap Anda dalam hal laporan.
• Kami akan menangani laporan Anda dengan kerahasiaan ketat, dan tidak akan menyebarkan detail pribadi Anda kepada pihak ketiga tanpa izin Anda.
• Kami akan memastikan Anda terinformasi tentang kemajuan menuju penyelesaian masalah.
• Dalam informasi publik mengenai masalah yang dilaporkan, kami akan menyebutkan nama Anda sebagai penemuan masalah (kecuali Anda menginginkannya lainnya).

Kami berusaha menyelesaikan semua masalah secepat mungkin, dan kami ingin berperan aktif dalam publikasi akhir atas masalah setelah masalah tersebut terpecah.