Kebijakan Keamanan
Hubungi: https://github.com/Cap-go/capgo/security/advisories/new
Kanonical: https://capgo.app/security.txt
Di Capgo, kami memandang keamanan sistem kami sebagai prioritas utama. Namun, tidak peduli berapa banyak upaya kami dalam keamanan sistem, masih ada kemungkinan adanya kelemahan.
Jika Anda menemukan kelemahan, kami ingin tahu tentang hal itu agar kami dapat mengambil langkah-langkah untuk menangani hal itu secepat mungkin. Kami ingin meminta bantuan Anda untuk membantu kami melindungi klien dan sistem kami lebih baik.
Kekeliruan keamanan yang di luar ruang lingkup:
- Klikjacking pada halaman tanpa aksi sensitif.
- CSRF tanpa autentikasi/logout/login.
- Serangan yang memerlukan akses fisik atau akses MITM ke perangkat pengguna.
- Serangan yang memerlukan teknik social engineering.
- Aktivitas apa pun yang dapat menyebabkan gangguan pada layanan kami (DoS).
- Masalah palsu konten dan injeksi teks tanpa menampilkan vector serangan/ tanpa dapat mengubah HTML/CSS.
- Palsu email
- Kekurangan DNSSEC, CAA, CSP header
- Kurangnya flag aman atau HTTP hanya pada cookie non-sensitif
- Tautan mati
- Penghitungan pengguna
- Laporan SSRF atau DNS palsu terhadap webhook atau pratinjau situs web. Fitur-fitur ini berjalan di infrastruktur serverless dan tidak dapat digunakan untuk mencapai infrastruktur Capgo pribadi, sehingga tidak dapat dimanfaatkan dalam lingkungan kami.
- Konfigurasi aplikasi code milik pengguna atau proyek yang Capgo tidak miliki, kirim, atau kendalikan, termasuk file seperti capacitor.config.ts, config.capacitor.ts, sumber kode aplikasi code, dan pengaturan spesifik lingkungan.
- Akses ke file Capgo bundle atau bukti bahwa file bundle dapat diunduh. File bundle adalah aset web publik, pengguna diinformasikan tentang hal ini, dan akses ke mereka tidak dianggap sebagai pelanggaran data.
Keterbatasan Autentikasi Supabase yang Dikenal
Beberapa temuan dilaporkan secara berulang dan terkait dengan perilaku Autentikasi Supabase. Hal ini hanya dianggap sebagai masalah Supabase sisi ketika dapat direproduksi dalam proyek demo Supabase bersama yang dikonfigurasi seperti kami dan ketika perubahan konfigurasi Supabase memperbaiki perilaku tanpa mengubah aturan keamanan Capgo. Jika perbaikan memerlukan perubahan SQL, RPC, kebijakan RLS, fungsi, atau logika aplikasi Capgo, itu adalah masalah Capgo dan harus dilaporkan kepada kami.
- Laporan harus mencakup demo Supabase yang dapat diulang, dengan langkah-langkah, yang sesuai dengan pengaturan kami dan menunjukkan perilaku.
- Laporan harus mencakup jalur perbaikan yang tepat: baik perubahan pengaturan/config Supabase yang menyelesaikan perilaku, atau objek konfigurasi code milik Capgo yang harus berubah.
- Alur akun/email diverifikasi terhadap pengaturan proyek Supabase (misalnya, apakah verifikasi email dinonaktifkan dan alur penangkapan digunakan).
- Alur perubahan kata sandi dan email/kata sandi mungkin bergantung pada sesi autentikasi Supabase saat ini dan pengaturan ulang verifikasi.
- Jika proyek demo membuktikan perbaikan yang konkrit di sisi Supabase dengan tidak ada perubahan kebijakan Capgo, atau menunjukkan kecacatan yang konkrit milik Capgo, kami akan meninjau sebagai tindakan yang dapat diambil.
Pedoman pengujian:
- Jangan menjalankan skanner otomatis pada proyek pelanggan lain. Menjalankan skanner otomatis dapat meningkatkan biaya bagi pengguna kami. Skanner yang dikonfigurasi agresif mungkin mengganggu layanan secara tidak sengaja, mengambil keuntungan dari kelemahan, menyebabkan ketidakstabilan sistem, atau pelanggaran dan melanggar Syarat dan Ketentuan dari penyedia upstream kami. Sistem keamanan kami sendiri tidak akan dapat membedakan rekonstruksi musuh dari penelitian putih. Jika Anda ingin menjalankan skanner otomatis, silakan menghubungi kami di security@capgo.app dan hanya jalankan skanner pada proyek Capgo milik Anda. TIDAK BOLEH menyerang proyek pelanggan lain.
- Jangan manfaatkan kelemahan atau masalah yang Anda temukan, misalnya dengan mengunduh data lebih dari yang diperlukan untuk menunjukkan kelemahan atau menghapus atau mengubah data orang lain.
Pedoman pelaporan:
- Kirimkan temuan Anda melalui GitHub Advisory Keamanan:: https://github.com/Cap-go/capgo/security/advisories/new
- Silakan menyediakan informasi yang cukup untuk mengulangi masalah, sehingga kami dapat menyelesaikannya secepat mungkin.
- Kami menerima dan meninjau laporan keamanan untuk plugin Capgo, tetapi hadiah bunga berbayar untuk plugin code terbatas pada @capgo/capacitor-updater. Plugin Capgo lainnya gratis untuk digunakan dan tidak termasuk dalam produk berbayar kami, sehingga laporan untuk mereka dilihat tetapi tidak dibayar.
Pedoman pengungkapan:
- Untuk melindungi pelanggan kami, jangan ungkapkan masalah kepada orang lain sampai kami telah melakukan penelitian, menangani, dan memberitahu pelanggan kami yang terkena.
-
Jika Anda ingin berbagi penelitian Anda tentang Capgo di konferensi, blog, atau forum publik lainnya, Anda harus berbagi draft dengan kami untuk tinjauan dan persetujuan setidaknya 30 hari sebelum tanggal publikasi. Perlu diingat bahwa hal-hal berikut tidak boleh termasuk:
- Data tentang proyek-proyek pelanggan Capgo
- Capgo data pelanggan
- Informasi tentang karyawan, kontraktor, atau mitra Capgo
Apa yang kita janjikan:
- Kami akan merespons laporan Anda dalam 7 hari kerja dengan evaluasi kami atas laporan dan tanggal penyelesaian yang diharapkan.
- Jika Anda telah mengikuti instruksi di atas, kami tidak akan mengambil tindakan hukum terhadap Anda dalam hal laporan.
- Kami akan menangani laporan Anda dengan kerahasiaan ketat, dan tidak akan menyebarkan detail pribadi Anda kepada pihak ketiga tanpa izin Anda.
- Kami akan memastikan Anda terinformasi tentang kemajuan dalam menyelesaikan masalah.
- Dalam informasi publik mengenai masalah yang dilaporkan, kami akan menyebutkan nama Anda sebagai penemu masalah (kecuali Anda menginginkannya lain).
- Jika data yang bocor muncul dalam log yang dibagikan dengan kami, kami akan menganggapnya sebagai informasi debugging yang digunakan untuk memperbaiki masalah, tidak sebagai alasan untuk balas dendam atau retribusi.
Kami berusaha menyelesaikan semua masalah secepat mungkin, dan kami ingin berperan aktif dalam publikasi akhir atas masalah setelah masalah tersebut diselesaikan.