セキュリティポリシー

お問い合わせ: https://github.com/Cap-go/capgo/security/advisories/new
標準: https://capgo.app/security.txt

Capgoでは、システムのセキュリティを最優先とします。ただし、システムのセキュリティに尽力しても、必ずしも脆弱性が存在しないとは限りません。

脆弱性を発見した場合は、できるだけ早く対処できるように、ご連絡いただけますようお願いいたします。

__CAPGO_KEEP_0__のクライアントやシステムをよりよく保護するために、ご協力いただけるようお願いいたします。

ページに敏感なアクションがない場合のクリックジャッキング。
未認証/ログアウト/ログインのCSRF。
ユーザーのデバイスへのMITMまたは物理的なアクセスが必要な攻撃。
社会工学が必要な攻撃。
サービスを中断する可能性のあるすべての活動（DoS）。
攻撃ベクターを表示せずにHTML/CSSを変更できない場合のコンテンツの偽装とテキストのインジェクションの問題。
メールの偽装。
DNSSEC、CAA、CSP ヘッダーが欠落している。
非敏感なクッキーにSecureまたはHTTP onlyフラグが欠落している。
死リンク。
ユーザーの一覧表示。
サーバーレスインフラストラクチャ上で実行されているウェブフックまたはウェブサイトのプレビューに対するSSRFまたはDNSスパッフィングの報告。ウェブフックやウェブサイトのプレビューは、プライベートCapgoインフラストラクチャにアクセスすることはできないため、環境内では利用できないため、攻撃は実行できません。
ユーザー所有のアプリケーションまたはプロジェクト設定 code または Capgo が所有、配送、または制御しないファイルなど、capacitor.config.ts、config.capacitor.ts、ソースコード code、および環境固有の設定。
Capgo バンドルファイルへのアクセスまたはバンドルファイルがダウンロード可能であることを証明するもの。バンドルファイルはパブリックウェブアセットであり、ユーザーにこれを知らせ、そしてこれらのファイルへのアクセスはデータ漏洩とは見なされない。

知られている Supabase Auth 制限事項

一部の発見は繰り返し報告され、 Supabase Auth の動作と関連付けられている。これらは、共有 Supabase DEMO プロジェクトが、設定が私たちのものと同じである場合にのみ、 Supabase 側の問題として扱われる。また、 Supabase の設定変更が、 Capgo のセキュリティ規則を変更せずに、挙動を修正する場合にのみ、 Supabase 側の問題として扱われる。ただし、修正が Capgo 所有の SQL、RPC、RLS ポリシー、関数、またはアプリロジックの変更を必要とする場合、 Capgo の問題であり、報告する必要がある。

報告には、設定と挙動を示すことができる、共有 Supabase プロジェクトのデモプロジェクト、ステップが含まれる必要がある。
報告には、挙動を修正するための、 Supabase の設定または構成の変更の正確なパスが含まれる必要がある。または、 Capgo 所有の code/config オブジェクトが変更される必要がある。
アカウント/メールフローは、 Supabase プロジェクトの設定 (例えば、メール検証が無効でキャプチャフローが使用されている場合) に対して検証される。
パスワードおよびメール/パスワード更新フローは、現在の Supabase Auth セッションおよび再検証設定に依存する可能性がある。
実際のサブエースベース側の修正が確認された場合、または実際のCapgo所有の欠陥が確認された場合、Capgoポリシー変更なしでデモプロジェクトを確認します。

テストガイドライン:

Do not run automated scanners on other customer projects. Running automated scanners can run up costs for our users. Aggressively configured scanners might inadvertently disrupt services, exploit vulnerabilities, lead to system instability or breaches and violate Terms of Service from our upstream providers. Our own security systems won't be able to distinguish hostile reconnaissance from whitehat research. If you wish to run an automated scanner, notify us at security@capgo.app and only run it on your own Capgo project. Do NOT attack projects of other customers.
脆弱性または問題を利用してはなりません。たとえば、脆弱性を示すために必要なデータをダウンロードすることや、他の人のデータを削除または変更することはできません。

報告ガイドライン:

Submit your findings through our GitHub Security Advisory:: https://github.com/Cap-go/capgo/security/advisories/new
問題を再現するための十分な情報を提供してください。問題を解決することができるようにしてください。
Capgoプラグインのセキュリティレポートを受け付けてレビューしますが、@capgo/capacitor-updater以外のcodeプラグインの有料ボーナスは制限されています。Capgoプラグインは無料で使用できますが、Capgoの有料製品の提供とは関係ありません。したがって、報告はレビューされますが、未払いです。

漏洩ガイドライン:

In order to protect our customers, do not reveal the problem to others until we have researched, addressed and informed our affected customers.
If you want to publicly share your research about Capgo at a conference, in a blog or any other public forum, you should share a draft with us for review and approval at least 30 days prior to the publication date. Please note that the following should not be included:
- Data regarding any Capgo customer projects
- Capgo customers' data
- Information about Capgo employees, contractors or partners

What we promise:

We will respond to your report within 7 business days with our evaluation of the report and an expected resolution date.
If you have followed the instructions above, we will not take any legal action against you in regard to the report.
We will handle your report with strict confidentiality, and not pass on your personal details to third parties without your permission.
We will keep you informed of the progress towards resolving the problem.
In the public information concerning the problem reported, we will give your name as the discoverer of the problem (unless you desire otherwise).
If leaked data appears in logs shared with us, we treat it as debugging information used to fix the issue, never as a reason for retaliation or retribution.

全ての問題をできる限り早く解決し、解決された後も問題の最終的な解決に積極的に参加したいと思っています。