メインコンテンツにジャンプ
Capgo ロゴ

セキュリティ ポリシー

お問い合わせ: https://github.com/Cap-go/capgo/security/advisories/new
Canonical: https://capgo.app/security.txt

Capgoでは、システムのセキュリティを最優先事項としています。ただし、システムのセキュリティに尽力しても、必ずしも脆弱性が存在しないとは限りません。

脆弱性を発見した場合は、できるだけ早く対処できるように、ご連絡いただけますようお願いいたします。私たちのクライアントやシステムをよりよく保護するために、ご協力いただけるでしょうか。

対象外の脆弱性:

  • Clickjacking のページに敏感なアクションがない場合。
  • 未認証/ログアウト/ログイン CSRF。
  • ユーザーのデバイスへの MITM または物理的なアクセスが必要な攻撃。
  • 社会工学が必要な攻撃。
  • サービスを中断する可能性のあるすべての活動 (DoS)。
  • 攻撃ベクターを表示せずに HTML/CSS を変更できない場合のコンテンツ スポーフィングとテキスト イジェクションの問題。
  • メール スポーフィング
  • DNSSEC、CAA、CSP ヘッダーが欠落している
  • 非敏感のクッキーに Secure または HTTP only フラグが欠落している
  • デッドリンク
  • ユーザー エンティティ化
  • SSRF or DNS spoofing reports against webhooks or website preview. These features run on serverless infrastructure and cannot be used to reach private Capgo infrastructure, so they are not exploitable in our environment.

知られている Supabase Auth の制限事項

一部の発見は、再び報告され、Supabase Auth の動作に関連付けられています。これらは、共有 Supabase のデモプロジェクトで、設定が私たちのものと同じである場合にのみ、Supabase 側の問題として扱われます。また、Supabase の構成変更が、Capgo のセキュリティ規則を変更せずに、動作を修正する場合にのみです。修正が、Capgo 所有の SQL、RPC、RLS ポリシー、関数、またはアプリロジックの変更を必要とする場合、それは Capgo の問題であり、報告する必要があります。

  • 報告には、設定が私たちのものと同じであり、動作を示すことができる、再現可能なデモ Supabase プロジェクトと、そのプロジェクトのステップが含まれます。
  • 報告には、動作を修正するための正確な修正パスが含まれます。修正パスは、Supabase の設定/構成変更が動作を修正する場合、または Capgo 所有の code/構成オブジェクトが変更される場合です。
  • アカウント/メールフローは、Supabase プロジェクトの設定 (例えば、メール検証が無効でキャプチャフローが使用されている場合) に基づいて検証されます。
  • パスワードとメール/パスワード更新フローは、現在の Supabase Auth セッションと再検証設定に依存する場合があります。
  • デモプロジェクトが、Capgo のポリシー変更なしで、具体的な Supabase 側の修正を証明したり、具体的な Capgo 所有の欠陥を示したりする場合、我々はそれを実行可能としてレビューします。

テストガイドライン:

  • 他の顧客プロジェクトに自動スキャナーを実行しないでください。自動スキャナーを実行すると、ユーザーにコストがかかります。Aggressively 設定されたスキャナーは、サービスを混乱させたり、脆弱性を利用したり、システムのinstabilityを引き起こしたり、セキュリティ上の違反を引き起こしたりする可能性があります。これらの上流のプロバイダーから提供されるTerms of Serviceを違反します。私たちのセキュリティシステムは、白帽リサーチとホストリコンを区別できません。自動スキャナーを実行したい場合は、security@capgo.appに連絡してください。Capgoプロジェクトのみで実行してください。Do NOT 他の顧客のプロジェクトを攻撃してください。
  • 脆弱性や問題を発見した場合、その利点を利用しないでください。たとえば、脆弱性を示すために必要なデータをダウンロードすることや、他の人のデータを削除または変更することはできません。

報告ガイドライン:

  • GitHub Security Advisory::で報告するようにしてください。 https://github.com/Cap-go/capgo/security/advisories/new
  • 問題を再現するための十分な情報を提供してください。問題を解決できるように、できるだけ早く解決できるようにしてください。

漏洩ガイドライン:

  • __CAPGO_KEEP_0__の保護のために、問題を他の人に明らかにしないでください。問題を研究し、対処し、影響を受けた顧客に通知するまで、問題を明らかにしないでください。
  • Capgoについての研究を公開したい場合は、会議、ブログ、またはその他の公開フォーラムで、30日以上前に公開する予定の場合、レビューと承認のために、draftを共有してください。次のことを含めることはできません:
    • Capgo の顧客プロジェクトに関するデータ
    • Capgo の顧客のデータ
    • Capgo の従業員、契約社員、パートナーの情報

私たちが約束すること

  • 報告を受け取った後、7営業日以内に報告の評価と解決の予定日を含めて、報告に対する回答をします。
  • 報告の指示を遵守している場合、報告に対して法的措置をとることはありません。
  • 報告は厳密に機密扱いとなり、第三者に個人情報を提供することはありません。
  • 問題の解決に向けての進捗状況について、常に情報を提供します。
  • 問題の報告に関する公の情報では、問題の発見者としてあなたの名前を表示します (あなたがそう望まない場合を除く)。

問題の解決をできるだけ早く行い、問題が解決された後、最終的な発表に積極的に参加したいと思います。