Saltare al contenuto principale
Capgo logo

Programma di ricompensa per i bug

Capgo si impegna per la sicurezza e la trasparenza. Tutti i nostri code sono open source e accogliamo con favore i ricercatori di sicurezza per aiutarci a identificare vulnerabilità nel nostro codice.

Open Source Code

Ogni repository nella Capgo è open source. Puoi esaminare, auditare e contribuire ai nostri code.

GitHub Organizzazione: github.com/Cap-go

Capgo Backend & Landing

Main Capgo repository including backend services and landing website

Visualizza Repository Segnalare Problema di Sicurezza

Capgo CLI

Interfaccia a riga di comando per la gestione dei Capgo e degli aggiornamenti in tempo reale.

Visualizza Repository Segnalare un problema di sicurezza

Capacitor Updater Plugin

Il plugin di base Capacitor che gestisce gli aggiornamenti in tempo reale su dispositivi mobili

Visualizza Repository Segnalare un problema di sicurezza

Requisiti per i rapporti validi

Per qualificarsi per il programma Bug Bounty, il tuo rapporto deve soddisfare TUTTI i seguenti requisiti:

  • Devi identificare il file e il numero di riga esatto nel nostro repository GitHub dove esiste la vulnerabilità
  • Il tuo rapporto deve essere inviato attraverso GitHub Security Advisory sul repository pertinenti
  • Devi includere una descrizione chiara della vulnerabilità e del suo impatto potenziale
  • Devi fornire passaggi riproducibili per dimostrare l'issue

Importante: Se non puoi fornire la riga esatta di code in GitHub dove il problema esiste, il tuo rapporto non sarà eleggibile per il programma Bug Bounty. I rapporti devono essere inviati attraverso GitHub Security Advisory solo. Le paghe sono gestite tramite Algora.io; per favore crea un account lì affinché possiamo pagarti direttamente sul platform.

Tempo di risposta e rispetto

Siamo amichevoli e paghiamo per i rapporti validi, ma non possiamo lavorare con persone che non rispettano il nostro tempo. Per favore mantieni la comunicazione calma e segui questo programma.

  • Rispondiamo ai rapporti di sicurezza e alle violazioni entro 24-72 ore.
  • Non ci mandare spam. Più di tre email in un solo giorno è considerato spam e verrà bloccato.
  • Non paghiamo per i rapporti che ignorano queste regole o sono spam.
  • Sono accettati solo i rapporti in ambito di questo programma di bug bounty; qualsiasi altra cosa potrebbe essere bloccata.
  • Non chiedere aggiornamenti sullo stato come "hai controllato?" o domande simili. Una volta che confermiamo di aver ricevuto il tuo rapporto, è sufficiente.

Importante: I pagamenti sono emessi solo dopo che abbiamo identificato l'errore, lo abbiamo risolto, abbiamo aperto una richiesta di pull e tu hai verificato dopo la release che la correzione funziona per te. Questo processo solitamente richiede tra i 20 e i 30 giorni. Per favore, non inviare messaggi come "per ricevere il pagamento"; il pagamento avviene solo una volta che la release è live e hai testato e verificato la correzione.

Come segnalare un problema

  1. Naviga al repository relativo su GitHub
  2. Clicca sulla scheda "Security"
  3. Clicca su "Segnala una vulnerabilità" per creare un nuovo avviso di sicurezza
  4. Includi la cartella e il numero di riga esatti dove esiste la vulnerabilità
  5. Fornisci passaggi dettagliati per riprodurre l'errore e spiega l'impatto sulla sicurezza

Fuori Scopo

  • Rapporti senza riferimenti di riga esatti code in GitHub
  • Rapporti non inviati attraverso GitHub Advisory di Sicurezza
  • Vulnerabilità teoriche senza prova di concetto
  • Bug in piattaforme, dipendenze o servizi terzi che Capgo non può risolvere direttamente (segnalare gli stessi ad esempio a Supabase)
  • Sforzo di inganno o tentativi di phishing
  • Attacchi di servizio di negazione

Supabase e Servizi Terzi

Se la causa radice è un bug della piattaforma o del servizio Supabase, segnalarlo a Supabase, non a Capgo. Se la logica vulnerabile, SQL, RPC, politica RLS, Funzione di Edge o la configurazione è stata creata o scelta da Capgo e possiamo risolverla nel nostro progetto, è in ambito anche quando Supabase serve l'endpoint. Per le informazioni sulla comportamento di Supabase stessa, includere un caso riproducibile e la configurazione Supabase esatta o il cambiamento di configurazione che lo prevenirebbe in un progetto configurato come il nostro.

Esempi

Non valido qui

  • Un bug, un'interruzione o un comportamento della piattaforma Supabase che solo Supabase può risolvere
  • Un problema che non puoi riprodurre
  • A claim that blames Capgo for Supabase behavior without showing a Capgo-controlled fix or the exact Supabase setting/config change

Valido qui

  • Una configurazione di Supabase controllata da Capgo che possiamo correggere nelle impostazioni del nostro progetto (con passaggi)
  • Un problema di SQL, RPC, RLS, funzione o integrazione di proprietà di Capgo che causa un utilizzo di Supabase non sicuro
  • Un problema riproducibile nel progetto, schema o politiche di Capgo di Supabase, anche se è esposto attraverso un endpoint di Supabase

Limitazioni di autenticazione Supabase note (già segnalate)

Alcuni ritrovamenti vengono segnalati ripetutamente e sono causati dalle impostazioni di autenticazione Supabase o dal comportamento del piattaforma piuttosto che da Capgo code. Li revisioniamo solo quando possono essere riprodotti in un progetto di demo di Supabase condiviso configurato come il nostro e quando la correzione è un cambiamento di configurazione di Supabase che non richiede modifiche alle regole di sicurezza di Capgo. Se la correzione richiede modifiche a SQL, RPC, politiche RLS, funzioni o logica dell'app di Capgo, segnalarlo a noi perché è in ambito

  • Fornisci un caso riproducibile e identifica la correzione esatta: o il cambiamento di configurazione di Supabase che risolve un problema di comportamento di Supabase, o l'oggetto Capgo-owned code/config che deve cambiare
  • Il comportamento della verifica dell'indirizzo e-mail è previsto per seguire le impostazioni del progetto di autenticazione di Supabase (ad esempio, se la conferma dell'indirizzo e-mail è disabilitata e si utilizza l'autenticazione basata sulla cattura)
  • I aggiornamento della password e i flussi di recupero della password potrebbero non richiedere sempre la reimmissione o la riconferma della vecchia password se Supabase Auth è configurato in questo modo.
  • Se il problema è in questa lista ma puoi mostrare una soluzione concreta per Supabase o un difetto di sicurezza Capgo-di proprietà, possiamo considerarlo nell'ambito.

Per le domande sul nostro programma Bug Bounty, per favore contattaci attraverso le nostre GitHub Security Advisories.