メイン コンテンツにスキップ
Capgo ロゴ

セキュリティ ポリシー

連絡先: https://github.com/Cap-go/capgo/security/advisories/new
標準: https://capgo.app/security.txt

Capgoでは、システムのセキュリティを最優先事項としています。ただし、システムのセキュリティに尽力しても、まだ脆弱性が存在する可能性があります。

脆弱性を発見した場合は、できるだけ早く対処できるように、ご連絡いただけますようお願いいたします。私たちのクライアントやシステムをよりよく保護するために、ご協力いただけるようお願いいたします。

範囲外の脆弱性:

  • 機密情報の操作ができないページのクリックジャッキング
  • 未認証のログアウト/ログイン CSRF
  • ユーザーのデバイスへの物理的アクセスやMITM攻撃
  • 社会工学攻撃
  • サービス中断 (DoS) による活動
  • HTML/CSS を変更できないため、コンテンツの偽装やテキストの挿入に関する問題
  • メールの偽装
  • DNSSEC、CAA、CSP ヘッダーの欠如
  • 非機密性のクッキーに Secure または HTTP only フラグが欠如している
  • リンクが死んでいる
  • ユーザーの一覧表示
  • サーバーレス インフラストラクチャ上で実行されている Webhook またはサイトのプレビューに対する SSRF または DNS 偽装の報告。これらの機能はプライベート Capgo インフラストラクチャにアクセスすることはできないため、環境内では利用できないため、攻撃ができない。

知られている Supabase Auth の制限

一部の発見は、Supabase Auth の動作に関連しているが、繰り返し報告されるものである。これらの問題は、共有 Supabase のデモプロジェクトに設定が似ている場合にのみ、Supabase 側の問題として扱われる。設定の変更が問題を解決し、Capgo のセキュリティ規則を変更せずに、問題が解決される場合にのみ。これらの問題は、Capgo 所有の SQL、RPC、RLS ポリシー、関数、またはアプリロジックの変更が必要な場合、Capgo の問題であるため、報告する必要がある。

  • 報告には、設定と動作を合わせた、共有 Supabase のデモプロジェクトとその手順が含まれる必要がある。
  • 報告には、問題を解決するための正確な修正パスが含まれる必要がある。修正パスは、問題を解決するための Supabase の設定または構成の変更、または Capgo 所有の code/構成オブジェクトの変更である。
  • アカウント/メールフローは、Supabaseプロジェクト設定 (例えば、メール検証が無効でキャプチャフローが使用されている場合) に対して検証されます。
  • パスワードとメール/パスワード更新フローは、現在のSupabase Auth セッションと再検証設定に依存する場合があります。
  • デモプロジェクトが、Capgo ポリシー変更なしで、Supabase側の具体的な修正を証明したり、Capgo 所有の具体的な欠陥を示した場合は、実行可能なものとしてレビューします。

テストガイドライン:

  • Do not run automated scanners on other customer projects. Running automated scanners can run up costs for our users. Aggressively configured scanners might inadvertently disrupt services, exploit vulnerabilities, lead to system instability or breaches and violate Terms of Service from our upstream providers. Our own security systems won't be able to distinguish hostile reconnaissance from whitehat research. If you wish to run an automated scanner, notify us at security@capgo.app and only run it on your own Capgo project. Do NOT attack projects of other customers.
  • 発見された脆弱性や問題を利用してはなりません。たとえば、脆弱性を示すために必要以上のデータをダウンロードしたり、他の人のデータを削除したり、変更したりしてはなりません。

報告ガイドライン:

  • 発見した情報を、GitHub セキュリティアドバイザーサイト経由で提出してください。 https://github.com/Cap-go/capgo/security/advisories/new
  • 問題を再現するための十分な情報を提供してください。そうすることで、問題を解決できるようになります。

漏洩ガイドライン:

  • お客様を保護するため、問題を他の人に明らかにしないでください。私たちが調査、対処し、お客様に知らせるまで待ってください。
  • あなたが Capgo についての研究を会議、ブログ、またはその他の公開フォーラムで公開したい場合、公表予定日から30日以上前に、レビューと承認のために私たちにドラフトを共有してください。以下のものは含まないでください。
    • Capgo の顧客プロジェクトに関するデータ
    • Capgo の顧客のデータ
    • Capgo の従業員、契約社員、パートナーの情報

私たちが約束すること

  • あなたの報告に対して、7営業日以内に私たちの評価と解決の予定日を含む回答を返します。
  • あなたが上記の指示を遵守した場合、報告に関して私たちはあなたに対して法的措置をとりません。
  • あなたの報告は厳密に機密扱いとなり、第三者にあなたの個人情報を渡すことはあなたの許可なしにありません。
  • あなたの報告の進捗状況については、解決の目途が立つまであなたに知らせます。
  • 問題が解決された後、最終的な公開については私たちが積極的に役割を果たしたいと思っています。

問題を解決することを最優先し、最終的な公開については私たちが積極的に役割を果たしたいと思っています。