Programma di ricompensa per i bug
Capgo si impegna per la sicurezza e la trasparenza. Tutti i nostri code sono open source, e accogliamo i ricercatori di sicurezza per aiutarci a identificare le vulnerabilità nel nostro codice.
Open Source Code
Ogni repository nella Capgo è open source. Puoi esaminare, auditare e contribuire ai nostri code.
Organizzazione GitHub: github.com/Cap-go
Capgo Backend & Landing
Repository principale Capgo che include servizi backend e sito web di presentazione
Capacitor Aggiornamento Plugin
Il plugin di base Capacitor che gestisce gli aggiornamenti in tempo reale su dispositivi mobili
Requisiti per i Rapporti Validi
Per qualificarsi per il programma Bug Bounty, il tuo rapporto deve soddisfare TUTTI i seguenti requisiti:
- Devi identificare l'esatto file e il numero di riga del nostro repository GitHub dove esiste la vulnerabilità
- Il tuo rapporto deve essere inviato attraverso GitHub Security Advisory sul rilevante repository
- Devi includere una descrizione chiara della vulnerabilità e del suo impatto potenziale
- Devi fornire passaggi riproducibili per dimostrare l'issue
E' importante: Se non potete fornire la riga esatta di code in GitHub dove il problema esiste, il vostro rapporto non sarà eleggibile per il Bug Bounty program. I rapporti devono essere inviati attraverso GitHub Security Advisory solo. I pagamenti sono gestiti da Algora.io; per favore create un account lì affinché possiamo pagare direttamente sul piattaforma.
Tempo di Risposta e Rispetto
Siamo amichevoli e paghiamo per i rapporti validi, ma non possiamo lavorare con persone che non rispettano il nostro tempo. Per favore mantenete la comunicazione calma e seguite questo programma.
- Rispondiamo ai rapporti di sicurezza e alle violazioni entro 24-72 ore.
- Non ci spammate. Più di tre email in un solo giorno è considerato spam e verrà bloccato.
- Non paghiamo per i rapporti che ignorano queste regole o sono spam.
- Sono accettati solo i rapporti in-scope che seguono questo programma di bug bounty; qualsiasi altra cosa potrebbe essere bloccata.
- Non chiedete aggiornamenti sullo stato come "avete controllato?" o domande simili. Una volta che confermiamo di aver ricevuto il vostro rapporto, è sufficiente. Dopo di che, ci sono ancora lavori significativi da fare, e preparare una richiesta di pull può richiedere diversi giorni.
E' importante: Capgo è una piccola azienda auto-sostenuta, quindi i nostri importi di borsa sono inferiori rispetto ai programmi delle grandi aziende. I rapporti senza un percorso chiaro di exploit sono pagati fino a $30 massimo. Gli exploit con un impatto reale e riproducibile su Capgo sono pagati fino a $300 massimo. Accettiamo e valutiamo i rapporti di sicurezza per i plugin Capgo, ma i bounties pagati per i plugin code sono limitati a @capgo/capacitor-aggiornatore. Altri plugin Capgo sono gratuiti e non fanno parte della nostra offerta di prodotto pagata, quindi i rapporti su di essi vengono valutati ma non sono pagati. Le pagamenti vengono emessi solo dopo che abbiamo identificato l'errore, lo abbiamo corretto, abbiamo aperto una richiesta di pull e tu hai verificato dopo la rilascio che la correzione funziona per te. Questo processo solitamente richiede tra i 20 e i 30 giorni. Per favore, non inviare messaggi come "per ricevere il pagamento"; il pagamento avviene solo una volta che il rilascio è live e hai testato e validato la correzione.
Come segnalare un problema
- Naviga al repository relativo su GitHub
- Clicca sulla scheda "Security"
- Clicca su "Segnala una vulnerabilità" per creare un nuovo avviso di sicurezza
- Includi il percorso file esatto e il numero di riga (le) dove la vulnerabilità esiste
- Fornisci passaggi dettagliati per riprodurre l'errore e spiega l'impatto di sicurezza
Fuori Scopo
- Rapporti senza riferimenti di riga esatti di code in GitHub
- Rapporti non inviati attraverso GitHub Security Advisory
- Vulnerabilità teoriche senza prova di concetto
- Bug in piattaforme, dipendenze o servizi di terze parti che Capgo non può correggere direttamente (segnaletica quelli upstream, ad esempio a Supabase)
- tentativi di ingegneria sociale o phishing
- attacchi di servizio
- relazioni di SSRF o DNS spoofing contro le webhook o anteprima del sito web. Queste funzionalità eseguono infrastrutture serverless e non possono essere utilizzate per raggiungere infrastrutture private Capgo, quindi non sono esploitabili nel nostro ambiente.
- configurazione dell'applicazione o del progetto code di proprietà dell'utente che Capgo non possiede, distribuisce o controlla, inclusi file come capacitor.config.ts, config.capacitor.ts, codice sorgente code e impostazioni specifiche dell'ambiente.
- accesso ai file del pacchetto Capgo o la prova che i file del pacchetto possono essere scaricati. I file del pacchetto sono asset web pubblici, gli utenti sono informati di questo e l'accesso a loro non è considerato una violazione dei dati.
Supabase e Servizi Terzi
Se la causa radice è un bug o un problema del servizio Supabase, segnalarlo a Supabase, non a Capgo. Se la logica vulnerabile, SQL, RPC, politica RLS, funzione Edge o configurazione è stata creata o scelta da Capgo e possiamo risolverla nel nostro progetto, è in ambito anche quando Supabase serve l'endpoint. Per le informazioni relative al comportamento di Supabase stesso, includere un caso riproducibile e il cambiamento di impostazione o configurazione Supabase esatto che lo prevenirebbe in un progetto configurato come il nostro.
Esempi
Non valido qui
- Un bug, un'interruzione o un comportamento di Supabase che solo Supabase può risolvere
- Un ritrovamento che non si può riprodurre
- Una pretesa che incolpa Capgo per il comportamento di Supabase senza mostrare una correzione Capgo-controllata o il cambiamento di impostazione/configurazione Supabase esatto
Valid here
- Un problema di configurazione Supabase controllato da Capgo che possiamo risolvere nelle impostazioni del nostro progetto (con passaggi)
- Un problema di SQL, RPC, RLS, funzione o integrazione di proprietà di Capgo che causa un utilizzo di Supabase non sicuro
- Un problema riproducibile nel progetto, nella schema o nelle politiche di Capgo Supabase, anche se è esposto attraverso un endpoint Supabase
Limitazioni note di Autenticazione Supabase (Già segnalate)
Alcune scoperte vengono segnalate ripetutamente e sono causate dalle impostazioni predefinite di Autenticazione Supabase o dal comportamento della piattaforma piuttosto che da Capgo code. Rivediamo queste solo quando possono essere riprodotte in un progetto demo Supabase condiviso configurato come il nostro e quando la correzione è un cambiamento di configurazione Supabase che non richiede modifiche alle regole di sicurezza di Capgo. Se la correzione richiede modifiche a SQL, RPC, RLS, politiche, funzioni o logica dell'app di Capgo, segnalarlo a noi perché è in ambito di applicazione.
- Fornisci un caso riproducibile e identifica la correzione esatta: o il cambiamento di impostazione/configurazione Supabase che risolve un problema di comportamento Supabase, o l'oggetto Capgo-di proprietà code/config che deve cambiare.
- Il comportamento della verifica dell'indirizzo e-mail è previsto che segua le impostazioni del progetto di Autenticazione Supabase (ad esempio, se la conferma dell'indirizzo e-mail è disabilitata e si utilizza l'autenticazione basata sulla cattura).
- I flussi di aggiornamento della password e di recupero della registrazione possono non richiedere sempre la rientro della vecchia password o la riconferma se l'Autenticazione Supabase è configurata in questo modo.
- Se l'issue è in questa lista ma puoi fornire una soluzione concreta da Supabase o un difetto di sicurezza concreto di proprietà Capgo, possiamo considerarlo nell'ambito.
Per le domande sul nostro programma di Bug Bounty, per favore contattaci attraverso le nostre GitHub Security Advisories.