セキュリティポリシー

連絡先: https://github.com/Cap-go/capgo/security/advisories/new
カノニカル: https://capgo.app/security.txt

Capgoでは、システムのセキュリティを最優先事項と考えています。しかし、いくらシステムセキュリティに努力しても、脆弱性が存在する可能性があります。

脆弱性を発見した場合は、できるだけ早く対処できるようにお知らせいただきたいです。私たちのクライアントやシステムをより良く保護するために、ぜひご協力をお願い致します。

範囲外の脆弱性:

• センシティブなアクションがないページでのクリックジャッキング。
• 未認証/ログアウト/ログイン CSRF。
• ユーザーのデバイスへのMITM攻撃または物理的アクセスを必要とする攻撃。
• ソーシャルエンジニアリングを必要とする攻撃。
• サービスの中断（DoS）につながる可能性のあるあらゆる活動。
• コンテンツの偽装やテキスト挿入の問題、攻撃ベクターを表示せず、HTML/CSSを変更できない場合。
• メールスプーフィング
• DNSSEC、CAA、CSPヘッダーが不足しています
• 非セキュアまたはHTTPのみフラグが設定されていない非機密クッキー
• デッドリンク
• ユーザー列挙

テストガイドライン：

• 他の顧客のプロジェクトで自動スキャナーを実行しないでください。自動スキャナーを実行すると、ユーザーのコストが増加する可能性があります。攻撃的に設定されたスキャナーは、サービスを誤って中断させたり、脆弱性を悪用したり、システムの不安定性や侵害を引き起こし、上流のプロバイダーの利用規約に違反する可能性があります。我々のセキュリティシステムは、敵対的な偵察とホワイトハットリサーチを区別できません。自動スキャナーを実行したい場合は、security@capgo.app で通知し、ご自身のCapgoプロジェクトでのみ実行してください。他の顧客のプロジェクトを攻撃しないでください。
• 発見した脆弱性や問題を利用しないでください。たとえば、脆弱性を示すために必要以上のデータをダウンロードしたり、他人のデータを削除したり変更したりすることは避けてください。

報告ガイドライン：

• GitHubセキュリティアドバイザリーを通じて、あなたの発見を提出してください：: https://github.com/Cap-go/capgo/security/advisories/new
• 問題を再現するための十分な情報を提供してください。そうすれば、できるだけ早く解決できるようになります。

開示ガイドライン:

• お客様を保護するために、問題を他の人に明かさないでください。私たちが調査し、対処し、影響を受けたお客様に通知するまでお待ちください。
• 会議、ブログ、またはその他の公の場でCapgoに関する研究を公に共有したい場合は、公開日の少なくとも30日前にレビューと承認のためにドラフトを私たちに共有する必要があります。以下の内容は含めないでください:
  • Capgoの顧客プロジェクトに関するデータ
  • Capgo顧客のデータ
  • Capgoの従業員、契約者、またはパートナーに関する情報

私たちの約束：

• ご報告に対する評価と予想される解決日を含む回答を、7営業日以内にお届けいたします。
• 上記の指示に従っていただければ、報告に関して法的措置を講じることはありません。
• 私たちはあなたの報告を厳重に機密扱いし、あなたの許可なしに個人情報を第三者に渡すことはありません。
• 問題解決に向けた進捗についてお知らせし続けます。
• 報告された問題に関する公開情報では、あなたの名前を問題の発見者として掲載します（特に希望しない限り）。

私たちは、すべての問題をできるだけ早く解決するよう努めており、解決後の問題に関する最終的な出版物に積極的に関与したいと考えています。