Saltare al contenuto principale
Capgo logo

Programma di ricompensa per i bug

Capgo si impegna per la sicurezza e la trasparenza. Tutti i nostri code sono open source, e accogliamo i ricercatori di sicurezza per aiutarci a identificare le vulnerabilità nel nostro codice.

Open Source Code

Ogni repository nell'organizzazione Capgo è open source. Puoi esaminare, auditare e contribuire ai nostri code.

Organizzazione GitHub: github.com/Cap-go

Capgo Backend & Landing

Repository principale di Capgo che include servizi backend e sito web di presentazione

Visualizza Repository Segnala Problema di Sicurezza

Capgo CLI

Interfaccia di riga di comando per la gestione delle distribuzioni e degli aggiornamenti live di Capgo

Visualizza Repository Segnala Problema di Sicurezza

Capacitor Updater Plugin

Il plugin di base di Capacitor che gestisce gli aggiornamenti in tempo reale sui dispositivi mobili

Visualizza Repository Segnalazione Problema di Sicurezza

Requisiti per Relazioni Valide

Per qualificarsi per il programma di Bug Bounty, la tua relazione deve soddisfare TUTTI i seguenti requisiti:

  • Devi identificare il file e il numero di riga esatto nel nostro repository GitHub dove esiste la vulnerabilità
  • La tua relazione deve essere inviata attraverso GitHub Advisory di Sicurezza sul repository pertinente
  • Devi includere una descrizione chiara della vulnerabilità e del suo impatto potenziale
  • Devi fornire passaggi riproducibili per dimostrare l'issue

Importante: Se non puoi fornire la riga esatta di code in GitHub dove esiste il problema, la tua relazione non sarà eleggibile per il programma di Bug Bounty. Le relazioni devono essere inviate attraverso GitHub Advisory di Sicurezza solo. I pagamenti sono gestiti da Algora.io; per favore crea un account lì affinché possiamo pagarti direttamente sulla piattaforma.

Tempo di Risposta e Rispetto

Siamo amichevoli e paghiamo per le relazioni valide, ma non possiamo lavorare con persone che non rispettano il nostro tempo. Per favore mantieni la comunicazione calma e segui questo programma.

  • Risposta ai Report di Sicurezza e Breach entro 24-72 ore
  • Do non ci spaventiamo. Più di tre email in un solo giorno è considerato spam e verrà bloccato.
  • Non paghiamo per i rapporti che ignorano queste regole o sono spam.
  • Sono accettati solo i rapporti in ambito di questo programma di bug bounty; qualsiasi altra cosa potrebbe essere bloccata.
  • Non chiedere aggiornamenti sullo stato come "hai controllato?" o domande simili. Una volta che confermiamo di aver ricevuto il tuo rapporto, basta così. Dopo di che, c'è ancora molto lavoro da fare, e preparare una richiesta di pull request può richiedere diversi giorni.

Importante: I pagamenti vengono emessi solo dopo che abbiamo identificato il problema, lo abbiamo risolto, abbiamo aperto una richiesta di pull e tu hai verificato dopo la release che il fix funziona per te. Questo processo solitamente richiede tra i 20 e i 30 giorni. Per favore, non inviare messaggi come "per ricevere il pagamento"; il pagamento avviene solo una volta che la release è live e hai testato e validato il fix.

Come segnalare un problema

  1. Naviga al repository relativo su GitHub
  2. Clicca sulla scheda "Security"
  3. Clicca su "Segnala una vulnerabilità" per creare un nuovo avviso di sicurezza
  4. Includi il percorso del file e il numero di riga esatti dove la vulnerabilità esiste
  5. Fornisci passaggi dettagliati per riprodurre l'errore e spiega l'impatto sulla sicurezza

Fuori Scopo

  • Rapporti senza riferimenti di riga esatti code in GitHub
  • Rapporti non inviati attraverso GitHub Advisory di Sicurezza
  • Vulnerabilità teoriche senza prova di concetto
  • Bugs in piattaforme, dipendenze o servizi terzi che Capgo non può risolvere direttamente (segnalare gli upstream, ad esempio a Supabase).
  • Tentativi di ingegneria sociale o di phishing
  • Attacchi di servizio

Supabase e Servizi Terzi

Se la causa radice è un bug della piattaforma o di un servizio Supabase, segnalarlo a Supabase, non a Capgo. Se la logica vulnerabile, SQL, RPC, politica RLS, Funzione di Edge o la configurazione è stata creata o scelta da Capgo e possiamo risolverla nel nostro progetto, è in ambito anche quando Supabase serve l'endpoint. Per i ritrovamenti sulla comportamento di Supabase stesso, includere un caso riproducibile e la configurazione esatta o il cambiamento di impostazione Supabase che lo prevenirebbe in un progetto configurato come il nostro.

Esempi

Non valido qui

  • Un bug della piattaforma Supabase, un'interruzione o un comportamento che solo Supabase può risolvere
  • A problema che non puoi riprodurre
  • A claim that blames Capgo for Supabase behavior without showing a Capgo-controlled fix or the exact Supabase setting/config change

Valido qui

  • Una configurazione di Supabase controllata da Capgo che possiamo correggere nelle impostazioni del nostro progetto (con passaggi)
  • Un problema di SQL, RPC, RLS, funzione o integrazione di proprietà di Capgo che causa un utilizzo di Supabase non sicuro
  • Un problema riproducibile nel progetto, schema o politiche di Supabase di Capgo, anche se è esposto attraverso un endpoint di Supabase

Limitazioni di autenticazione Supabase note (già segnalate)

Alcuni ritrovamenti vengono segnalati ripetutamente e sono causati dalle impostazioni di autenticazione Supabase o dal comportamento della piattaforma piuttosto che da Capgo code. Li esaminiamo solo quando possono essere riprodotti in un progetto demo di Supabase condiviso configurato come il nostro e quando il correttivo è un cambiamento di configurazione di Supabase che non richiede modificare le regole di sicurezza di Capgo. Se il correttivo richiede modificare SQL, RPC, politiche di RLS, funzioni o logica dell'app di Capgo, segnalo a noi perché è in ambito

  • Fornisci un caso riproducibile e identifica il correttivo esatto: o il cambiamento di impostazione/configurazione di Supabase che risolve un problema di comportamento di Supabase, o l'oggetto Capgo-di proprietà code/config che deve cambiare
  • Il comportamento della verifica via e-mail è previsto che segua le impostazioni del progetto di autenticazione Supabase (ad esempio, se la conferma via e-mail è disabilitata e si utilizza l'autenticazione basata sulle captura)
  • Aggiornamento della password e flussi di ripristino dell'account potrebbero non richiedere sempre la riconferma della vecchia password o la riconferma se Supabase Auth è configurato in questo modo.
  • Se il problema è in questa lista ma puoi mostrare una soluzione concreta da parte di Supabase nel progetto fornito o un difetto di sicurezza di proprietà Capgo, possiamo considerarlo nell'ambito.

Per domande sul nostro programma di Bug Bounty, per favore contattaci attraverso le nostre GitHub Security Advisories.