Saltare al contenuto principale
Capgo logo

Politica di sicurezza

Contattaci: https://github.com/Cap-go/capgo/security/advisories/new
Canonical: https://capgo.app/security.txt

A Capgo, consideriamo la sicurezza dei nostri sistemi una priorità assoluta. Tuttavia, nonostante l'impegno che mettiamo nella sicurezza dei sistemi, possono ancora esserci vulnerabilità presenti.

Se scoprite una vulnerabilità, vorremmo saperne di più per poterla affrontare il più velocemente possibile. Vorremmo chiedervi di aiutarci a proteggere meglio i nostri clienti e i nostri sistemi.

Vulnerabilità fuori scena:

  • Clickjacking su pagine senza azioni sensibili.
  • CSRF non autenticati/logout/login.
  • Attacchi che richiedono un MITM o l'accesso fisico a un dispositivo dell'utente.
  • Attacchi che richiedono ingegneria sociale.
  • Qualsiasi attività che potrebbe portare alla interruzione del nostro servizio (DoS).
  • Problemi di spoofing del contenuto e di iniezione di testo senza visualizzare un vettore di attacco/non potendo modificare HTML/CSS.
  • Spoofing di posta elettronica.
  • Manca DNSSEC, CAA, CSP headers.
  • Mancanza di Secure o HTTP only flag su cookie non sensibili.
  • Collegamenti morti.
  • Enumerazione degli utenti.
  • SSRF o spoofing DNS nei rapporti contro webhook o anteprima del sito web. Queste funzionalità eseguono un'infrastruttura serverless e non possono essere utilizzate per raggiungere l'infrastruttura Capgo privata, quindi non sono esploitabili nel nostro ambiente.
  • Configurazione dell'applicazione o del progetto code di proprietà dell'utente o che Capgo non possiede, distribuisce o controlla, inclusi file come capacitor.config.ts, config.capacitor.ts, sorgenti dell'applicazione code e impostazioni specifiche dell'ambiente.
  • Accesso ai file del pacchetto Capgo o prova che i file del pacchetto possono essere scaricati. I file del pacchetto sono asset web pubblici, gli utenti sono informati di questo e l'accesso a loro non è considerato una violazione dei dati.

Limitazioni note dell'autenticazione Supabase

Alcune scoperte vengono riportate ripetutamente e sono legate al comportamento dell'autenticazione Supabase. Queste sono trattate come problemi del lato Supabase solo quando possono essere riprodotti in un progetto demo Supabase condiviso configurato come il nostro e quando un cambio di configurazione Supabase risolve il comportamento senza modificare le regole di sicurezza Capgo. Se il fix richiede modifiche ai dati SQL, RPC, politiche RLS, funzioni o logica dell'applicazione Capgo, questo è un problema Capgo e dovrebbe essere segnalato a noi.

  • I rapporti devono includere un progetto demo Supabase riproducibile, con passaggi, che corrisponde alle nostre impostazioni e dimostra il comportamento.
  • I rapporti devono includere la via di fix esatta: o il cambio di impostazione/configurazione Supabase che risolve il comportamento, o l'oggetto Capgo-di proprietà code/config che deve cambiare.
  • I flussi di account/email vengono validati contro le impostazioni del progetto Supabase (ad esempio, se la verifica dell'e-mail è disabilitata e viene utilizzato il flusso di cattura).
  • I flussi di password e aggiornamento password/email possono dipendere dalla sessione di autenticazione Supabase corrente e dalle impostazioni di re-verification.
  • If un progetto di demo dimostra una soluzione concreta per il problema di Supabase senza alcuna modifica della politica Capgo, o mostra un difetto concreto di proprietà Capgo, lo esaminiamo come azione da intraprendere.

Linee guida per la testing:

  • Non eseguire gli scanner automatizzati su altri progetti dei clienti. Eseguire gli scanner automatizzati può aumentare i costi per i nostri utenti. Gli scanner configurati aggressivamente potrebbero disgregare involontariamente i servizi, sfruttare le vulnerabilità, portare instabilità al sistema o violare i termini di servizio dei nostri fornitori upstream. I nostri sistemi di sicurezza non saranno in grado di distinguere la ricognizione ostile dalla ricerca bianca. Se desiderate eseguire uno scanner automatizzato, notificatelo a security@capgo.app e eseguitelo solo sul vostro progetto Capgo. NON attaccate i progetti degli altri clienti.
  • Non approfittate della vulnerabilità o del problema che avete scoperto, ad esempio scaricando più dati del necessario per dimostrare la vulnerabilità o cancellando o modificando i dati degli altri utenti.

Linee guida per la segnalazione:

  • Inviare le vostre scoperte attraverso il nostro GitHub Advisory di Sicurezza:: https://github.com/Cap-go/capgo/security/advisories/new
  • Fornite informazioni sufficienti per riprodurre il problema, in modo che possiamo risolverlo il più velocemente possibile.
  • Accettiamo e esaminiamo i rapporti di sicurezza per i plugin Capgo, ma le borse pagate per i plugin code sono limitate a @capgo/capacitor-updater. Altri plugin Capgo sono gratuiti e non fanno parte della nostra offerta di prodotto pagata, quindi i rapporti per loro vengono esaminati ma non sono pagati.

Linee guida per la divulgazione:

  • In ordine a proteggere i nostri clienti, non rivelare il problema ad altri fino a quando non abbiamo condotto ricerche, affrontato e informato i nostri clienti interessati.
  • Se desiderate condividere pubblicamente la vostra ricerca su Capgo in una conferenza, in un blog o in qualsiasi altro forum pubblico, dovreste condividere una bozza con noi per la revisione e l'approvazione almeno 30 giorni prima della data di pubblicazione. Si prega di notare che i seguenti non dovrebbero essere inclusi:
    • Il dati relativi a qualsiasi progetto Capgo dei clienti
    • Il dati dei clienti Capgo
    • L'informazioni sui dipendenti, i contrattisti o i partner Capgo

Cosa promettiamo:

  • Risponderemo al tuo rapporto entro 7 giorni lavorativi con la nostra valutazione del rapporto e la data prevista di risoluzione.
  • Se hai seguito le istruzioni sopra, non intraprenderemo alcuna azione legale nei tuoi confronti in relazione al rapporto.
  • Tratteremo il tuo rapporto con la massima riservatezza e non passeremo i tuoi dati personali a terze parti senza il tuo consenso.
  • Manterremo informato sul progresso verso la risoluzione del problema.
  • Nella informazione pubblica concernente il problema segnalato, daremo il tuo nome come scopritore del problema (a meno che tu non desideri diversamente).
  • Se i dati compromessi appaiono nei log condivisi con noi, li trattiamo come informazioni di debug utilizzate per risolvere il problema, mai come motivo di rappresaglia o retribuzione.

Ci impegniamo a risolvere tutti i problemi il più velocemente possibile, e vorremmo giocare un ruolo attivo nella pubblicazione finale del problema dopo che è stato risolto.