Skip to main content
Capgo logo

バグ報奨金プログラム

Capgoはセキュリティと透明性に取り組んでいます。私たちのコードはすべてオープンソースであり、セキュリティ研究者の方々がコードベースの脆弱性を特定するお手伝いをしていただくことを歓迎しています。

オープンソースコード

Capgo組織内のすべてのリポジトリはオープンソースです。コードのレビュー、監査、貢献が可能です。

GitHub組織: github.com/Cap-go

Capgoバックエンド&ランディング

バックエンドサービスとウェブサイトを含むCapgoメインリポジトリ

リポジトリを表示 セキュリティ問題を報告

Capgo CLI

Capgoのデプロイメントとライブアップデートを管理するためのコマンドラインインターフェース

リポジトリを表示 セキュリティ問題を報告

Capacitor Updaterプラグイン

モバイルデバイスでのOTAアップデートを処理するコアCapacitorプラグイン

リポジトリを表示 セキュリティ問題を報告

有効な報告の要件

バグ報奨金プログラムの対象となるには、報告は以下のすべての要件を満たす必要があります:

  • 脆弱性が存在するGitHubリポジトリ内の正確なファイルと行番号を特定する必要があります
  • 報告は該当リポジトリのGitHub Security Advisoryを通じて提出する必要があります
  • 脆弱性とその潜在的な影響についての明確な説明を含める必要があります
  • 問題を実証するための再現可能な手順を提供する必要があります

重要: 問題が存在するGitHub上の正確なコード行を提供できない場合、あなたの報告はバグ報奨金プログラムの対象外となります。報告はGitHub Security Advisoryを通じてのみ提出する必要があります。報酬の支払いはAlgora.ioで行います。そこでアカウントを作成していただき、プラットフォーム上で直接お支払いします。

Response Time and Respect

We are friendly and we do pay for valid reports, but we cannot work with people who do not respect our time. Please keep communication calm and follow this program.

  • We respond to security reports and breaches within 24-72 hours.
  • Do not spam us. More than three emails in a single day is considered spam and will be blocked.
  • We do not pay for reports that ignore these rules or are spam.
  • Only in-scope reports that follow this bug bounty program are accepted; anything else may be blocked.

重要: Payments are issued only after we have identified the issue, fixed it, opened a pull request, and you have verified after release that the fix works for you. This process typically takes 3-5 days. Please do not send messages like "to get paid"; payment happens only once the release is live and you've tested and validated the fix.

報告方法

  1. GitHubの該当リポジトリに移動します
  2. 「Security」タブをクリックします
  3. 「Report a vulnerability」をクリックして新しいセキュリティアドバイザリを作成します
  4. 脆弱性が存在する正確なファイルパスと行番号を含めてください
  5. 問題を再現する詳細な手順を提供し、セキュリティへの影響を説明してください

対象外

  • GitHubでの正確なコード行参照のない報告
  • GitHub Security Advisoryを通じて提出されていない報告
  • 概念実証のない理論的な脆弱性
  • サードパーティ依存関係またはサービスの問題(上流に報告してください。例: Supabase)。
  • ソーシャルエンジニアリングまたはフィッシングの試み
  • サービス拒否攻撃

Supabase とサードパーティサービス

Supabase の問題が Supabase エンドポイント由来なら、Supabase に報告してください(Capgo ではありません)。ここで有効なのは、再現手順と、同等の設定の Supabase プロジェクトで防げる具体的な設定変更を提示できる場合のみです。

対象外の例

  • Supabase プラットフォームの不具合や障害
  • 再現できない指摘
  • 修正できる Supabase 設定変更がない主張

対象内の例

  • Supabase 設定で直せる誤設定(手順付き)
  • Capgo の統合が原因で Supabase の使い方が危険になる問題
  • 特定の Supabase 設定変更で解決できる再現可能な問題

バグ報奨金プログラムに関するご質問は、GitHub Security Advisoriesを通じてお問い合わせください。