Skip to main content
Capgo logo

버그 바운티 프로그램

Capgo는 보안과 투명성에 전념하고 있습니다. 모든 코드는 오픈소스이며, 코드베이스의 취약점을 식별하는 데 도움을 줄 보안 연구자들을 환영합니다.

오픈소스 코드

Capgo 조직의 모든 리포지토리는 오픈소스입니다. 코드를 검토하고, 감사하고, 기여할 수 있습니다.

GitHub 조직: github.com/Cap-go

Capgo 백엔드 & 랜딩

백엔드 서비스와 웹사이트를 포함한 Capgo 메인 리포지토리

리포지토리 보기 보안 문제 신고

Capgo CLI

Capgo 배포 및 라이브 업데이트 관리를 위한 명령줄 인터페이스

리포지토리 보기 보안 문제 신고

Capacitor Updater 플러그인

모바일 기기에서 OTA 업데이트를 처리하는 핵심 Capacitor 플러그인

리포지토리 보기 보안 문제 신고

유효한 신고 요구사항

버그 바운티 프로그램 대상이 되려면 신고가 다음 요구사항을 모두 충족해야 합니다:

  • 취약점이 존재하는 GitHub 리포지토리의 정확한 파일과 라인 번호를 식별해야 합니다
  • 신고는 해당 리포지토리의 GitHub Security Advisory를 통해 제출해야 합니다
  • 취약점과 잠재적 영향에 대한 명확한 설명을 포함해야 합니다
  • 문제를 시연하기 위한 재현 가능한 단계를 제공해야 합니다

중요: 문제가 존재하는 GitHub의 정확한 코드 라인을 제공할 수 없는 경우, 귀하의 신고는 버그 바운티 프로그램 대상이 아닙니다. 신고는 반드시 GitHub Security Advisory를 통해서만 제출해야 합니다. 지급은 Algora.io를 통해 이루어집니다. 그곳에 계정을 만들어 주시면 플랫폼에서 직접 지급합니다.

Response Time and Respect

We are friendly and we do pay for valid reports, but we cannot work with people who do not respect our time. Please keep communication calm and follow this program.

  • We respond to security reports and breaches within 24-72 hours.
  • Do not spam us. More than three emails in a single day is considered spam and will be blocked.
  • We do not pay for reports that ignore these rules or are spam.
  • Only in-scope reports that follow this bug bounty program are accepted; anything else may be blocked.

중요: Payments are issued only after we have identified the issue, fixed it, opened a pull request, and you have verified after release that the fix works for you. This process typically takes 3-5 days. Please do not send messages like "to get paid"; payment happens only once the release is live and you've tested and validated the fix.

신고 방법

  1. GitHub의 해당 리포지토리로 이동합니다
  2. "Security" 탭을 클릭합니다
  3. "Report a vulnerability"를 클릭하여 새 보안 권고사항을 생성합니다
  4. 취약점이 존재하는 정확한 파일 경로와 라인 번호를 포함합니다
  5. 문제를 재현하는 자세한 단계를 제공하고 보안 영향을 설명합니다

범위 외

  • GitHub에서 정확한 코드 라인 참조가 없는 신고
  • GitHub Security Advisory를 통해 제출되지 않은 신고
  • 개념 증명이 없는 이론적 취약점
  • 서드파티 의존성 또는 서비스 문제 (업스트림에 신고, 예: Supabase).
  • 소셜 엔지니어링 또는 피싱 시도
  • 서비스 거부 공격

Supabase 및 서드파티 서비스

Supabase 엔드포인트에 묶인 Supabase 자체 문제라면 Supabase에 신고하세요 (Capgo가 아닙니다). 여기서 유효한 제보는 재현 가능하고, 동일 설정의 Supabase 프로젝트에서 막는 구체적 설정/구성 변경을 제시할 수 있는 경우뿐입니다.

예시

여기서 무효

  • Supabase 플랫폼 버그/장애
  • 재현 불가 제보
  • 고칠 설정 변경 없이 주장만

여기서 유효

  • Supabase 설정으로 해결 가능한 오설정 (단계 포함)
  • Capgo 통합 문제로 Supabase를 불안전하게 쓰게 되는 경우
  • 특정 Supabase 설정 변경으로 해결되는 재현 가능한 문제

버그 바운티 프로그램에 대한 질문은 GitHub Security Advisories를 통해 문의해 주세요.