보안 정책

연락처: https://github.com/Cap-go/capgo/security/advisories/new
정식: https://capgo.app/security.txt

Capgo에서는 우리 시스템의 보안을 최우선 과제로 여깁니다. 하지만 시스템 보안에 아무리 많은 노력을 기울여도 여전히 취약점이 존재할 수 있습니다.

취약점을 발견하셨다면, 최대한 빨리 대응 조치를 취할 수 있도록 저희에게 알려주시기 바랍니다. 고객과 시스템을 더 잘 보호할 수 있도록 도와주시면 감사하겠습니다.

범위를 벗어난 취약점:

• 민감한 작업이 없는 페이지에서의 클릭재킹.
• 인증되지 않은/로그아웃/로그인 CSRF.
• 중간자 공격(MITM) 또는 사용자 기기에 대한 물리적 접근이 필요한 공격.
• 사회공학적 기법이 필요한 공격.
• 서비스 중단(DoS)을 초래할 수 있는 모든 활동.
• HTML/CSS를 수정할 수 없거나 공격 벡터를 보여주지 않고 콘텐츠 스푸핑 및 텍스트 삽입 문제.
• 이메일 스푸핑
• DNSSEC, CAA, CSP 헤더 누락
• 비민감한 쿠키에 보안 또는 HTTP 전용 플래그가 없음
• 데드링크
• 사용자 열거

테스트 가이드라인:

• 다른 고객의 프로젝트에 자동화된 스캐너를 실행하지 마세요. 자동화된 스캐너를 실행하면 사용자에게 비용이 발생할 수 있습니다. 공격적으로 구성된 스캐너는 의도치 않게 서비스를 중단시키거나, 취약점을 악용하거나, 시스템 불안정성 또는 침해를 초래할 수 있으며 상위 제공업체의 서비스 약관을 위반할 수 있습니다. 우리의 보안 시스템은 적대적인 정찰과 화이트햇 연구를 구분할 수 없습니다. 자동화된 스캐너를 실행하고 싶다면 security@capgo.app로 알려주시고 본인의 Capgo 프로젝트에서만 실행하세요. 다른 고객의 프로젝트를 공격하지 마세요.
• 취약점이나 발견한 문제를 악용하지 마세요. 예를 들어, 취약점을 입증하는 데 필요한 것 이상의 데이터를 다운로드하거나 다른 사람의 데이터를 삭제하거나 수정하는 것과 같은 행위를 하지 마세요.

보고 지침:

• GitHub 보안 권고를 통해 귀하의 발견 사항을 제출하십시오:: https://github.com/Cap-go/capgo/security/advisories/new
• 문제를 재현하는 데 필요한 충분한 정보를 제공해 주세요. 그래야 가능한 한 빨리 문제를 해결할 수 있습니다.

공개 지침:

• 고객을 보호하기 위해, 문제를 조사하고 해결하여 영향을 받은 고객에게 알릴 때까지 다른 사람들에게 문제를 공개하지 마십시오.
• 컨퍼런스, 블로그 또는 기타 공개 포럼에서 Capgo에 대한 귀하의 연구를 공개적으로 공유하고자 하는 경우, 발표일로부터 최소 30일 전에 검토 및 승인을 위해 초안을 저희와 공유해야 합니다. 다음 사항은 포함되어서는 안 된다는 점을 유의해 주시기 바랍니다:
  • Capgo 고객 프로젝트에 관한 데이터
  • Capgo 고객 데이터
  • Capgo 직원, 계약자 또는 파트너에 대한 정보

우리의 약속:

• 영업일 기준 7일 이내에 귀하의 보고서에 대한 평가와 예상 해결 날짜를 통해 답변 드리겠습니다.
• 위의 지침을 따랐다면, 우리는 해당 보고서와 관련하여 귀하에 대해 어떠한 법적 조치도 취하지 않을 것입니다.
• 귀하의 신고를 엄격한 기밀로 처리하며, 귀하의 허가 없이 개인 정보를 제3자에게 전달하지 않을 것입니다.
• 문제 해결을 위한 진행 상황을 계속 알려드리겠습니다.
• 보고된 문제에 관한 공개 정보에서, 우리는 귀하의 이름을 문제의 발견자로 언급할 것입니다 (귀하가 원하지 않는 경우 제외).

우리는 모든 문제를 가능한 한 빨리 해결하기 위해 노력하며, 문제가 해결된 후 최종 발표에서 적극적인 역할을 하고자 합니다.