Saltare al contenuto principale

Programma di ricompensa per i bug

Capgo si impegna per la sicurezza e la trasparenza. Tutti i nostri code sono open source, e accogliamo i ricercatori di sicurezza per aiutarci a identificare le vulnerabilità nel nostro codice.

Open Source Code

Ogni repository nella Capgo è open source. Puoi esaminare, auditare e contribuire ai nostri code.

Organizzazione GitHub: github.com/Cap-go

Capgo Backend & Landing

Repository principale Capgo che include servizi backend e sito web di presentazione

Capacitor Aggiornamento Plugin

Il plugin di base Capacitor che gestisce gli aggiornamenti in tempo reale su dispositivi mobili

Requisiti per i Rapporti Validi

Per qualificarsi per il programma Bug Bounty, il tuo rapporto deve soddisfare TUTTI i seguenti requisiti:

  • Devi identificare l'esatto file e il numero di riga del nostro repository GitHub dove esiste la vulnerabilità
  • Il tuo rapporto deve essere inviato attraverso GitHub Security Advisory sul rilevante repository
  • Devi includere una descrizione chiara della vulnerabilità e del suo impatto potenziale
  • Devi fornire passaggi riproducibili per dimostrare l'issue

E' importante: Se non potete fornire la riga esatta di code in GitHub dove il problema esiste, il vostro rapporto non sarà eleggibile per il Bug Bounty program. I rapporti devono essere inviati attraverso GitHub Security Advisory solo. I pagamenti sono gestiti da Algora.io; per favore create un account lì affinché possiamo pagare direttamente sul piattaforma.

Tempo di Risposta e Rispetto

Siamo amichevoli e paghiamo per i rapporti validi, ma non possiamo lavorare con persone che non rispettano il nostro tempo. Per favore mantenete la comunicazione calma e seguite questo programma.

  • Rispondiamo ai rapporti di sicurezza e alle violazioni entro 24-72 ore.
  • Non ci spammate. Più di tre email in un solo giorno è considerato spam e verrà bloccato.
  • Non paghiamo per i rapporti che ignorano queste regole o sono spam.
  • Sono accettati solo i rapporti in-scope che seguono questo programma di bug bounty; qualsiasi altra cosa potrebbe essere bloccata.
  • Non chiedete aggiornamenti sullo stato come "avete controllato?" o domande simili. Una volta che confermiamo di aver ricevuto il vostro rapporto, è sufficiente. Dopo di che, ci sono ancora lavori significativi da fare, e preparare una richiesta di pull può richiedere diversi giorni.

E' importante: Capgo è una piccola azienda auto-sostenuta, quindi i nostri importi di borsa sono inferiori rispetto ai programmi delle grandi aziende. I rapporti senza un percorso chiaro di exploit sono pagati fino a $30 massimo. Gli exploit con un impatto reale e riproducibile su Capgo sono pagati fino a $300 massimo. Accettiamo e valutiamo i rapporti di sicurezza per i plugin Capgo, ma i bounties pagati per i plugin code sono limitati a @capgo/capacitor-aggiornatore. Altri plugin Capgo sono gratuiti e non fanno parte della nostra offerta di prodotto pagata, quindi i rapporti su di essi vengono valutati ma non sono pagati. Le pagamenti vengono emessi solo dopo che abbiamo identificato l'errore, lo abbiamo corretto, abbiamo aperto una richiesta di pull e tu hai verificato dopo la rilascio che la correzione funziona per te. Questo processo solitamente richiede tra i 20 e i 30 giorni. Per favore, non inviare messaggi come "per ricevere il pagamento"; il pagamento avviene solo una volta che il rilascio è live e hai testato e validato la correzione.

Come segnalare un problema

  1. Naviga al repository relativo su GitHub
  2. Clicca sulla scheda "Security"
  3. Clicca su "Segnala una vulnerabilità" per creare un nuovo avviso di sicurezza
  4. Includi il percorso file esatto e il numero di riga (le) dove la vulnerabilità esiste
  5. Fornisci passaggi dettagliati per riprodurre l'errore e spiega l'impatto di sicurezza

Fuori Scopo

  • Rapporti senza riferimenti di riga esatti di code in GitHub
  • Rapporti non inviati attraverso GitHub Security Advisory
  • Vulnerabilità teoriche senza prova di concetto
  • Bug in piattaforme, dipendenze o servizi di terze parti che Capgo non può correggere direttamente (segnaletica quelli upstream, ad esempio a Supabase)
  • tentativi di ingegneria sociale o phishing
  • attacchi di servizio
  • relazioni di SSRF o DNS spoofing contro le webhook o anteprima del sito web. Queste funzionalità eseguono infrastrutture serverless e non possono essere utilizzate per raggiungere infrastrutture private Capgo, quindi non sono esploitabili nel nostro ambiente.
  • configurazione dell'applicazione o del progetto code di proprietà dell'utente che Capgo non possiede, distribuisce o controlla, inclusi file come capacitor.config.ts, config.capacitor.ts, codice sorgente code e impostazioni specifiche dell'ambiente.
  • accesso ai file del pacchetto Capgo o la prova che i file del pacchetto possono essere scaricati. I file del pacchetto sono asset web pubblici, gli utenti sono informati di questo e l'accesso a loro non è considerato una violazione dei dati.

Supabase e Servizi Terzi

Se la causa radice è un bug o un problema del servizio Supabase, segnalarlo a Supabase, non a Capgo. Se la logica vulnerabile, SQL, RPC, politica RLS, funzione Edge o configurazione è stata creata o scelta da Capgo e possiamo risolverla nel nostro progetto, è in ambito anche quando Supabase serve l'endpoint. Per le informazioni relative al comportamento di Supabase stesso, includere un caso riproducibile e il cambiamento di impostazione o configurazione Supabase esatto che lo prevenirebbe in un progetto configurato come il nostro.

Esempi

Non valido qui

  • Un bug, un'interruzione o un comportamento di Supabase che solo Supabase può risolvere
  • Un ritrovamento che non si può riprodurre
  • Una pretesa che incolpa Capgo per il comportamento di Supabase senza mostrare una correzione Capgo-controllata o il cambiamento di impostazione/configurazione Supabase esatto

Valid here

  • Un problema di configurazione Supabase controllato da Capgo che possiamo risolvere nelle impostazioni del nostro progetto (con passaggi)
  • Un problema di SQL, RPC, RLS, funzione o integrazione di proprietà di Capgo che causa un utilizzo di Supabase non sicuro
  • Un problema riproducibile nel progetto, nella schema o nelle politiche di Capgo Supabase, anche se è esposto attraverso un endpoint Supabase

Limitazioni note di Autenticazione Supabase (Già segnalate)

Alcune scoperte vengono segnalate ripetutamente e sono causate dalle impostazioni predefinite di Autenticazione Supabase o dal comportamento della piattaforma piuttosto che da Capgo code. Rivediamo queste solo quando possono essere riprodotte in un progetto demo Supabase condiviso configurato come il nostro e quando la correzione è un cambiamento di configurazione Supabase che non richiede modifiche alle regole di sicurezza di Capgo. Se la correzione richiede modifiche a SQL, RPC, RLS, politiche, funzioni o logica dell'app di Capgo, segnalarlo a noi perché è in ambito di applicazione.

  • Fornisci un caso riproducibile e identifica la correzione esatta: o il cambiamento di impostazione/configurazione Supabase che risolve un problema di comportamento Supabase, o l'oggetto Capgo-di proprietà code/config che deve cambiare.
  • Il comportamento della verifica dell'indirizzo e-mail è previsto che segua le impostazioni del progetto di Autenticazione Supabase (ad esempio, se la conferma dell'indirizzo e-mail è disabilitata e si utilizza l'autenticazione basata sulla cattura).
  • I flussi di aggiornamento della password e di recupero della registrazione possono non richiedere sempre la rientro della vecchia password o la riconferma se l'Autenticazione Supabase è configurata in questo modo.
  • Se l'issue è in questa lista ma puoi fornire una soluzione concreta da Supabase o un difetto di sicurezza concreto di proprietà Capgo, possiamo considerarlo nell'ambito.

Per le domande sul nostro programma di Bug Bounty, per favore contattaci attraverso le nostre GitHub Security Advisories.