セキュリティ ポリシー
お問い合わせ: https://github.com/Cap-go/capgo/security/advisories/new
Canonical: https://capgo.app/security.txt
Capgoでは、システムのセキュリティを最優先とします。ただし、システムのセキュリティに尽力しても、必ずしも脆弱性が存在しないとは限りません。
__CAPGO_KEEP_0__のシステムのセキュリティを強化するために、ご協力いただけることをお願いします。
範囲外の脆弱性:
- Clickjacking のページに敏感なアクションがない場合。
- 未認証/ログアウト/ログイン CSRF。
- ユーザーのデバイスへの MITM または物理的なアクセスが必要な攻撃。
- 社会工学を必要とする攻撃。
- サービスを中断する可能性のあるすべての活動 (DoS)。
- 表示されない攻撃ベクター/HTML/CSS を変更できない場合のコンテンツ スポーフィングとテキスト イジェクションの問題。
- メール スポーフィング
- DNSSEC、CAA、CSP ヘッダーが欠落している
- 非敏感のクッキーに Secure または HTTP only フラグが欠落している
- デッドリンク
- ユーザー エNUMERATION
- SSRF または DNS スポーフィングの報告が Webhook またはサイト プレビューに対して行われる。これらの機能はサーバーレス インフラストラクチャ上で実行されるため、プライベート Capgo インフラストラクチャにアクセスすることはできず、環境内では利用できないため、攻撃は実行できません。
- ユーザー所有のアプリケーションまたはプロジェクト設定codeやCapgoが所有、配布、制御しないファイルなど、capacitor.config.ts、config.capacitor.ts、ソースコードcode、環境固有の設定など。
- Access to Capgo bundle files or proof that bundle files can be downloaded. Bundle files are public web assets, users are informed of this, and access to them is not considered a data breach.
知られているSupabase Auth制限事項
報告される結果は繰り返し報告され、Supabase Authの動作と関連付けられている。これらは、共有Supabaseデモプロジェクトが設定が同じで、Supabaseの構成変更が動作を修正するのにCapgoのセキュリティ規則を変更せずに、Supabase側の問題として扱われる場合にのみ。これらの問題を修正するには、Capgo所有のSQL、RPC、RLSポリシー、関数、またはアプリロジックの変更が必要な場合、それはCapgoの問題であり、報告する必要がある。
- 報告には、設定と動作を示すことができる再現可能なデモSupabaseプロジェクト、ステップが含まれる必要がある。
- 報告には、動作を解決するための正確な修正パスが含まれる必要がある。修正パスは、Supabaseの設定/構成変更またはCapgo所有のcode/configオブジェクトの変更である。
- アカウント/メールフローは、Supabaseプロジェクトの設定 (例えば、メール検証が無効でキャプチャフローが使用されている場合) に対して検証される。
- パスワードとメール/パスワード更新フローは、現在のSupabase Authセッションと再検証設定に依存する可能性がある。
- If a demo project proves a concrete Capgo fix with no policy change, or shows a concrete Capgo-owned defect, we review it as actionable.
テストガイドライン:
- Do not run automated scanners on other customer projects. Running automated scanners can run up costs for our users. Aggressively configured scanners might inadvertently disrupt services, exploit vulnerabilities, lead to system instability or breaches and violate Terms of Service from our upstream providers. Our own security systems won't be able to distinguish hostile reconnaissance from whitehat research. If you wish to run an automated scanner, notify us at security@capgo.app and only run it on your own Capgo project. Do NOT attack projects of other customers.
- 脆弱性や問題を利用してはなりません。たとえば、脆弱性を示すために必要なデータをダウンロードする必要がある場合、必要なデータをダウンロードするだけにしましょう。別の人のデータを削除または変更してはなりません。
報告ガイドライン:
- セキュリティ報告は、GitHub Security Advisory:: から提出してください。 https://github.com/Cap-go/capgo/security/advisories/new
- 問題を再現するための十分な情報を提供してください。問題を解決するのにできるだけ早くできるようにします。
- We accept and review security reports for Capgo plugins, but paid bounties for plugin code are limited to @capgo/capacitor-updater. Other Capgo plugins are free to use and are not part of our paid product offering, so reports for them are reviewed but unpaid.
漏洩ガイドライン:
- お客様を守るために、問題を他の人に明らかにしないでください。私たちは問題を調査し、対処し、お客様に情報を提供するまで待ってください。
-
研究についてのCapgoの発表やブログなど、公開フォーラムで共有したい場合は、発表予定日から30日以上前に、発表内容の草案を提出して、レビューと承認を取得してください。以下の内容は含まないでください。
- Data regarding any Capgo customer projects
- Capgo の顧客データ
- Capgo の従業員、契約社員、またはパートナーに関する情報
私たちが約束するもの:
- 7日以内にビジネス日で報告に対して、報告の評価と解決の予定日を含む回答を提供します。
- もし上記の手順を実行した場合、報告に関してあなたに対する法的措置をとることはありません。
- 私たちのチームはあなたの報告を厳密に機密に扱い、第三者にあなたの個人情報を第三者に渡すことはありません。
- 問題の解決に取り組んでいる状況を随時お知らせいたします。
- 問題の報告された公の情報において、問題の発見者としてあなたの名前を発表します (あなたが異なることを望まない限り)。
- データ漏洩がログに表示され、共有された場合、問題を解決するために使用されるデバッグ情報として扱います。復讐や報復の理由としては扱いません。
迅速にすべての問題を解決し、解決された後も問題の最終的な公開に積極的に参加したいと思っています。