Politica di sicurezza

Contattaci: https://github.com/Cap-go/capgo/security/advisories/new
Canonical: https://capgo.app/security.txt

A Capgo, consideriamo la sicurezza dei nostri sistemi una priorità assoluta. Tuttavia, nonostante l'impegno che mettiamo nella sicurezza dei sistemi, possono ancora esserci vulnerabilità presenti.

Se scoprite una vulnerabilità, vorremmo saperne per poter prendere misure per affrontarla il più rapidamente possibile. Vorremmo chiedervi di aiutarci a proteggere meglio i nostri clienti e i nostri sistemi.

Vulnerabilità fuori scena:

• Clickjacking su pagine senza azioni sensibili.
• CSRF non autenticato/logout/login.
• Attacchi che richiedono un attacco MITM o l'accesso fisico a un dispositivo dell'utente.
• Attacchi che richiedono ingegneria sociale.
• Qualsiasi attività che potrebbe portare alla interruzione del nostro servizio (DoS).
• Issue relativi allo spoofing di contenuti e iniezione di testo senza visualizzare un vettore di attacco/senza poter modificare HTML/CSS.
• Email spoofing
• Mancanza di DNSSEC, CAA, CSP headers
• L'assenza della Secure o HTTP only flag sui cookie non sensibili
• Collegamenti morti
• Enumerazione degli utenti
• Report di SSRF o DNS spoofing contro webhooks o anteprima del sito web. Queste funzionalità eseguono infrastruttura serverless e non possono essere utilizzate per raggiungere l'infrastruttura Capgo privata, quindi non sono esploitabili nel nostro ambiente.

Limitazioni note di Autenticazione Supabase

Alcuni ritrovamenti sono segnalati ripetutamente e legati al comportamento di Autenticazione Supabase. Questi sono trattati come problemi del lato Supabase solo quando possono essere riprodotti in un progetto demo Supabase condiviso configurato come il nostro e quando un cambio di configurazione di Supabase risolve il comportamento senza modificare le regole di sicurezza Capgo. Se il fix richiede modifiche a SQL, RPCs, politiche RLS, funzioni o logica dell'app di proprietà di Capgo, questo è un problema di sicurezza Capgo e dovrebbe essere segnalato a noi.

• Il report deve includere un progetto demo Supabase riproducibile, con passaggi, che corrisponde alle nostre impostazioni e dimostra il comportamento.
• Le relazioni dei report devono includere il percorso di correzione esatto: o il Supabase impostazione/configurazione di modifica che risolve il comportamento, o l'oggetto Capgo-di proprietà code/config che deve cambiare.
• Il flusso di account/e-mail viene validato rispetto alle impostazioni del progetto Supabase (ad esempio, se la verifica e-mail è disabilitata e viene utilizzato il flusso di cattura).
• Il flusso di aggiornamento della password e dell'e-mail/password potrebbe dipendere dalla sessione di autenticazione Supabase corrente e dalle impostazioni di re-verification.
• Se un progetto di demo dimostra una correzione concreta del lato Supabase senza alcuna modifica della politica Capgo o mostra un difetto di proprietà Capgo concreto, lo esaminiamo come azione da intraprendere.

Linee guida per la verifica:

• Non eseguire gli scanner automatizzati su altri progetti dei clienti. Eseguire gli scanner automatizzati può aumentare i costi per i nostri utenti. Gli scanner configurati aggressivamente potrebbero interrompere involontariamente i servizi, sfruttare le vulnerabilità, portare a instabilità del sistema o violazioni e violare i termini di servizio dai nostri provider upstream. I nostri sistemi di sicurezza non potrebbero distinguere la ricognizione ostile da ricerche bianche. Se desiderate eseguire uno scanner automatizzato, notificateci a security@capgo.app e eseguitelo solo sul vostro progetto Capgo. Non attaccare i progetti degli altri clienti.
• Non approfittate della vulnerabilità o del problema che avete scoperto, ad esempio scaricando più dati del necessario per dimostrare la vulnerabilità o cancellando o modificando i dati degli altri utenti.

Linee guida per la segnalazione:

• Inviare le vostre scoperte attraverso il nostro GitHub Advisory di Sicurezza:: https://github.com/Cap-go/capgo/security/advisories/new
• Per favore, fornisce informazioni sufficienti per riprodurre il problema, in modo da poter risolverlo il più velocemente possibile.

Linee guida sulla disclosure:

• Per proteggere i nostri clienti, non rivelare il problema ad altri fino a quando non avremo esaminato, risolto e informato i nostri clienti interessati.
• Se desideri condividere la tua ricerca su Capgo in una conferenza, in un blog o in qualsiasi altro forum pubblico, dovresti condividere una bozza con noi per la revisione e l'approvazione almeno 30 giorni prima della data di pubblicazione. Nota che i seguenti non dovrebbero essere inclusi:
  • Informazioni relative a progetti di clienti Capgo
  • Dettagli dei clienti Capgo
  • Informazioni sui dipendenti, i contractor o i partner Capgo

Cosa promettiamo:

• Risponderemo al tuo rapporto entro 7 giorni lavorativi con la nostra valutazione del rapporto e una data di risoluzione prevista.
• Se hai seguito le istruzioni sopra, non intraprenderemo alcuna azione legale nei tuoi confronti in relazione al rapporto.
• Tratteremo il tuo rapporto con la massima riservatezza e non condivideremo i tuoi dati personali con terze parti senza la tua autorizzazione.
• Ci informeremo sul progresso verso la risoluzione del problema.
• Nell'informazione pubblica concernente il problema segnalato, darà il suo nome come scopritore del problema (a meno che non desideri diversamente).

Ci impegniamo a risolvere tutti i problemi il più rapidamente possibile e vorremmo svolgere un ruolo attivo nella pubblicazione finale sul problema dopo che è stato risolto.