Programma Bug Bounty
Capgo è impegnata nella sicurezza e nella trasparenza. Tutto il nostro codice è open source, e accogliamo i ricercatori di sicurezza per aiutarci a identificare le vulnerabilità nel nostro codice.
Codice Open Source
Ogni repository nell'organizzazione Capgo è open source. Puoi rivedere, verificare e contribuire al nostro codice.
Organizzazione GitHub: github.com/Cap-go
Capgo Backend e Landing
Repository principale Capgo inclusi servizi backend e sito web
Capgo CLI
Interfaccia a riga di comando per gestire deployment e aggiornamenti live di Capgo
Plugin Capacitor Updater
Il plugin Capacitor principale che gestisce gli aggiornamenti over-the-air sui dispositivi mobili
Requisiti per Report Validi
Per qualificarsi per il programma Bug Bounty, il tuo report deve soddisfare TUTTI i seguenti requisiti:
- Devi identificare il file esatto e il numero di riga nel nostro repository GitHub dove esiste la vulnerabilità
- Il tuo report deve essere inviato tramite GitHub Security Advisory sul repository pertinente
- Devi includere una descrizione chiara della vulnerabilità e del suo potenziale impatto
- Devi fornire passaggi riproducibili per dimostrare il problema
Importante: Se non riesci a fornire la riga esatta di codice in GitHub dove esiste il problema, il tuo report non sarà idoneo per il programma Bug Bounty. I report devono essere inviati esclusivamente tramite GitHub Security Advisory. I pagamenti vengono effettuati tramite Algora.io. Crea un account lì così possiamo pagarti direttamente sulla piattaforma.
Response Time and Respect
We are friendly and we do pay for valid reports, but we cannot work with people who do not respect our time. Please keep communication calm and follow this program.
- We respond to security reports and breaches within 24-72 hours.
- Do not spam us. More than three emails in a single day is considered spam and will be blocked.
- We do not pay for reports that ignore these rules or are spam.
- Only in-scope reports that follow this bug bounty program are accepted; anything else may be blocked.
Importante: Payments are issued only after we have identified the issue, fixed it, opened a pull request, and you have verified after release that the fix works for you. This process typically takes 3-5 days. Please do not send messages like "to get paid"; payment happens only once the release is live and you've tested and validated the fix.
Come Segnalare
- Naviga al repository pertinente su GitHub
- Clicca sulla scheda "Security"
- Clicca su "Report a vulnerability" per creare un nuovo avviso di sicurezza
- Includi il percorso esatto del file e il/i numero/i di riga dove esiste la vulnerabilità
- Fornisci passaggi dettagliati per riprodurre il problema e spiega l'impatto sulla sicurezza
Fuori Ambito
- Report senza riferimenti esatti alle righe di codice in GitHub
- Report non inviati tramite GitHub Security Advisory
- Vulnerabilità teoriche senza prova di concetto
- Problemi in dipendenze o servizi di terze parti (segnalali upstream, es. Supabase).
- Tentativi di social engineering o phishing
- Attacchi denial of service
Supabase e Servizi di Terze Parti
Se il problema e' lato Supabase ed e' legato a un endpoint Supabase, segnalalo a Supabase (non a Capgo). Accettiamo report legati a Supabase solo se puoi riprodurlo e indicare l'esatto cambio di impostazioni/configurazione Supabase che lo previene in un progetto configurato come il nostro.
Esempi
Non valido qui
- Un bug della piattaforma Supabase o un outage
- Un finding che non riesci a riprodurre
- Una claim senza la modifica di setting/config Supabase che lo risolve
Valido qui
- Una misconfigurazione correggibile nelle impostazioni Supabase (con passi)
- Un problema di integrazione Capgo che causa un uso Supabase non sicuro
- Un problema riproducibile risolto con una specifica modifica di config Supabase
Per domande sul nostro programma Bug Bounty, contattateci tramite GitHub Security Advisories.