Saltare al contenuto principale

Security Policy

Politica di Sicurezza https://github.com/Cap-go/capgo/security/advisories/new
Contattaci: https://capgo.app/security.txt

Presso Capgo, consideriamo la sicurezza dei nostri sistemi una priorità assoluta. Tuttavia, nonostante l'impegno che mettiamo nella sicurezza dei sistemi, possono ancora esserci vulnerabilità presenti.

Se scoprite una vulnerabilità, vorremmo saperne per poter intraprendere le misure necessarie per affrontarla il più rapidamente possibile. Vorremmo chiedervi di aiutarci a proteggere meglio i nostri clienti e i nostri sistemi.

Vulnerabilità fuori ambito:

  • Clickjacking su pagine senza azioni sensitive.
  • CSRF non autenticato/logout/login.
  • Attacchi che richiedono l'accesso MITM o fisico a un dispositivo utente.
  • Attacchi che richiedono l'ingegneria sociale.
  • Qualsiasi attività che potrebbe portare alla disruzione del nostro servizio (DoS).
  • Problemi di spoofing del contenuto e di iniezione di testo senza mostrare un vettore di attacco/ senza poter modificare HTML/CSS.
  • Spoofer di posta elettronica
  • Manca di intestazioni DNSSEC, CAA, CSP
  • Mancanza di Secure o flag HTTP solo sui cookie non sensibili
  • Collegamenti morti
  • Enumerazione degli utenti
  • Segnalazioni di SSRF o DNS spoofing contro webhook o anteprima del sito web. Queste funzionalità eseguono infrastruttura serverless e non possono essere utilizzate per raggiungere infrastruttura Capgo privata, quindi non sono esploitabili nel nostro ambiente.
  • Configurazione dell'applicazione o del progetto code di proprietà dell'utente che Capgo non gestisce, distribuisce o controlla, inclusi file come capacitor.config.ts, config.capacitor.ts, sorgenti dell'applicazione code e impostazioni specifiche per l'ambiente.
  • Accesso ai file del pacchetto Capgo o la prova che i file del pacchetto possono essere scaricati. I file del pacchetto sono asset web pubblici, gli utenti sono informati di questo e l'accesso a loro non è considerato una violazione dei dati.

Limitazioni note di Autenticazione Supabase

Alcune segnalazioni sono segnalate ripetutamente e legate al comportamento di Autenticazione Supabase. Queste sono trattate solo come problemi del lato Supabase quando possono essere riprodotte in un progetto demo Supabase condiviso configurato come il nostro e quando un cambiamento di configurazione di Supabase risolve il comportamento senza modificare le regole di sicurezza Capgo . Se il riparo richiede modifiche a SQL, RPC, politiche di RLS, funzioni o logica dell'app di Capgo , questo è un problema Capgo e dovrebbe essere segnalato a noi.

  • Il rapporto deve includere un progetto demo Supabase riproducibile, con passaggi, che corrisponde alle nostre impostazioni e dimostra il comportamento.
  • Il rapporto deve includere la via di riparo esatta: o il cambiamento di impostazione/configurazione di Supabase che risolve il comportamento, o l'oggetto Capgo -di proprietà code /config che deve cambiare.
  • I flussi di email vengono validati in base alle impostazioni del progetto Supabase (ad esempio, se la verifica dell'indirizzo email è disabilitata e viene utilizzato il flusso di cattura).
  • I flussi di password e di aggiornamento password/password possono dipendere dalla sessione di autenticazione Supabase corrente e dalle impostazioni di re-asserzione.
  • Se un progetto demo dimostra una correzione concreta sul lato Supabase senza alcuna modifica della politica Capgo, o mostra un difetto Capgo-di proprietà concreto, lo esaminiamo come azione da intraprendere.

Linee guida per la verifica:

  • Non eseguire gli scanner automatizzati su altri progetti dei clienti. Eseguire gli scanner automatizzati può aumentare i costi per i nostri utenti. Gli scanner configurati aggressivamente potrebbero interrompere involontariamente i servizi, sfruttare le vulnerabilità, portare a instabilità del sistema o violazioni dei termini di servizio dei nostri provider upstream. I nostri sistemi di sicurezza non saranno in grado di distinguere la ricognizione ostile da ricerche di whitehat. Se desiderate eseguire uno scanner automatizzato, notificateci a security@capgo.app e eseguitelo solo sul vostro progetto Capgo. Non attaccare i progetti degli altri clienti.
  • Non approfittate della vulnerabilità o del problema che avete scoperto, ad esempio scaricando più dati del necessario per dimostrare la vulnerabilità o cancellando o modificando i dati degli altri utenti.

Linee guida per la segnalazione:

  • Inviate le vostre scoperte attraverso il nostro GitHub Advisory di Sicurezza:: https://github.com/Cap-go/capgo/security/advisories/new
  • Fornite informazioni sufficienti per riprodurre il problema, in modo che possiamo risolverlo il più velocemente possibile.
  • Accettiamo e esaminiamo i rapporti di sicurezza per i plugin Capgo, ma le borse pagate per il plugin code sono limitate a @capgo/capacitor-aggiornatore. Altri plugin Capgo sono gratuiti da utilizzare e non fanno parte della nostra offerta di prodotto a pagamento, quindi i rapporti su di essi vengono esaminati ma non sono pagati.

Linee guida sulla disclosure:

  • Per proteggere i nostri clienti, non rivelare il problema ad altri fino a quando non abbiamo esaminato, risolto e informato i nostri clienti interessati.
  • Se desiderate condividere la vostra ricerca su Capgo in una conferenza, in un blog o in qualsiasi altro forum pubblico, dovreste condividere un bozzetto con noi per la revisione e l'approvazione almeno 30 giorni prima della data di pubblicazione. Notate che i seguenti non dovrebbero essere inclusi:
    • Dati relativi a qualsiasi progetto dei clienti Capgo
    • I dati dei clienti Capgo
    • Informazioni sugli impiegati, i contractor o i partner Capgo

Cosa promettiamo:

  • Risponderemo al vostro rapporto entro 7 giorni lavorativi con la nostra valutazione del rapporto e una data di risoluzione prevista.
  • Se avete seguito le istruzioni sopra, non intraprenderemo alcuna azione legale nei vostri confronti in relazione al rapporto.
  • Tratteremo il vostro rapporto con la massima riservatezza e non passeremo i vostri dati personali a terze parti senza il vostro consenso.
  • Teniamo informati sulla progressione verso la risoluzione del problema.
  • In informazioni pubbliche relative al problema segnalato, daremo il tuo nome come scopritore del problema (a meno che tu non desideri diversamente).
  • Se dati compromessi appaiono nei log condivisi con noi, li trattiamo come informazioni di debug utilizzate per risolvere il problema, mai come motivo di rappresaglia o ritorsione.

Ci impegniamo a risolvere tutti i problemi il più velocemente possibile e vorremmo svolgere un ruolo attivo nella pubblicazione finale del problema dopo che è stato risolto.