バグ報奨金プログラム
Capgoはセキュリティと透明性に取り組んでいます。私たちのコードはすべてオープンソースであり、セキュリティ研究者の方々がコードベースの脆弱性を特定するお手伝いをしていただくことを歓迎しています。
オープンソースコード
Capgo組織内のすべてのリポジトリはオープンソースです。コードのレビュー、監査、貢献が可能です。
GitHub組織: github.com/Cap-go
有効な報告の要件
バグ報奨金プログラムの対象となるには、報告は以下のすべての要件を満たす必要があります:
- 脆弱性が存在するGitHubリポジトリ内の正確なファイルと行番号を特定する必要があります
- 報告は該当リポジトリのGitHub Security Advisoryを通じて提出する必要があります
- 脆弱性とその潜在的な影響についての明確な説明を含める必要があります
- 問題を実証するための再現可能な手順を提供する必要があります
重要: 問題が存在するGitHub上の正確なコード行を提供できない場合、あなたの報告はバグ報奨金プログラムの対象外となります。報告はGitHub Security Advisoryを通じてのみ提出する必要があります。
報告方法
- GitHubの該当リポジトリに移動します
- 「Security」タブをクリックします
- 「Report a vulnerability」をクリックして新しいセキュリティアドバイザリを作成します
- 脆弱性が存在する正確なファイルパスと行番号を含めてください
- 問題を再現する詳細な手順を提供し、セキュリティへの影響を説明してください
対象外
- GitHubでの正確なコード行参照のない報告
- GitHub Security Advisoryを通じて提出されていない報告
- 概念実証のない理論的な脆弱性
- サードパーティ依存関係の問題(上流に報告してください)
- ソーシャルエンジニアリングまたはフィッシングの試み
- サービス拒否攻撃
バグ報奨金プログラムに関するご質問は、GitHub Security Advisoriesを通じてお問い合わせください。