Skip to main content
Capgo 로고

보안 정책

문의: https://github.com/Cap-go/capgo/security/advisories/new
Canonical: https://capgo.app/security.txt

Capgo의 시스템 보안은 최우선 과제입니다. 그러나 시스템 보안에 얼마나 많은 노력을 기울여도 여전히 취약점이 존재할 수 있습니다.

시스템 보안에 대한 노력과 상관없이 취약점이 존재할 수 있음을 인식하고 있습니다.

취약점을 발견한 경우 가능한 한 빠르게 대응할 수 있도록 알려주셔서 기회를 주시면 감사하겠습니다.

  • __CAPGO_KEEP_0__의 고객과 시스템을 더 잘 보호할 수 있도록 도와주셔서 감사합니다.
  • 취약점 범위 밖의 취약점:
  • 클릭잭킹이 민감한 동작이 없는 페이지에 발생하는 경우.
  • 로그인/로그아웃 CSRF가 인증되지 않은 경우.
  • 사용자의 장치에 대한 중간자 공격 또는 물리적 접근이 필요한 공격.
  • 사용자에게 사회 공학 공격을 요구하는 공격입니다.','__CAPGO_KEEP_0__ 서비스의 중단을 유발할 수 있는 활동.
  • 이메일 위조
  • DNSSEC, CAA, CSP 헤더가 누락된 경우
  • 비민감 데이터가 아닌 쿠키에 Secure 또는 HTTP only 플래그가 설정되지 않은 경우
  • 데드 링크
  • 사용자 식별
  • 웹 훅 또는 웹사이트 미리보기 기능을 사용하여 사설 Capgo 인프라에 접근할 수 없는 서버리스 인프라에서 SSRF 또는 DNS 위조 보고서가 발생합니다.
  • 사용자가 소유한 code 애플리케이션 또는 프로젝트 구성이 Capgo이 소유, 배포, 또는 제어하지 않는 파일, 예를 들어 capacitor.config.ts, config.capacitor.ts, 앱 소스 code, 환경별 설정과 같은 파일입니다.
  • Capgo 번들 파일에 대한 접근 또는 번들 파일이 다운로드 될 수 있는 증거. 번들 파일은 공개 웹 자산이며 사용자는 이를 알리고 번들 파일에 대한 접근은 데이터 유출로 간주되지 않습니다.

Supabase 인증 제한

일부 발견은 반복적으로 보고되고 Supabase 인증 동작과 관련이 있습니다. 이러한 발견은 Supabase-side 이슈로 처리되지만 Supabase 데모 프로젝트를 공유하고 ours와 같은 설정으로 구성할 수 있고 Supabase 구성 변경이 동작을 수정하지 않고 Capgo 보안 규칙을 변경하지 않는 경우에만 그러합니다. 동작을 수정하는 데 Capgo 소유 SQL, RPC, RLS 정책, 함수, 또는 앱 로직 변경이 필요하다면 이는 Capgo 이슈이며 우리에게 보고해야 합니다.

  • 보고서에는 우리의 설정과 동작을 демон스트레이는 데 사용할 수 있는 재현 가능한 Supabase 데모 프로젝트, 단계,와 함께 포함되어야 합니다.
  • Capgo의 정확한 수정 경로를 포함해야 합니다: Supabase 설정/구성 변경이 동작을 해결하는지 여부 또는 code가 소유한 __CAPGO_KEEP_2__/config 객체가 변경되어야 하는지 여부.
  • 계정/이메일 흐름은 Supabase 프로젝트 설정(예를 들어 이메일 인증이 비활성화되어 있고 캡처 흐름이 사용되는지 여부)과 검증됩니다.
  • 비밀번호 및 이메일/비밀번호 업데이트 흐름은 현재 Supabase Auth 세션 및 재인증 설정에 의존할 수 있습니다.
  • 데모 프로젝트가 Supabase 측의 수정이 없는 Capgo 정책 변경이 없거나 Capgo가 소유한 결함을 보여주면, 우리는 이를 실행 가능한 것으로 검토합니다.

테스트 지침:

  • Do not run automated scanners on other customer projects. Running automated scanners can run up costs for our users. Aggressively configured scanners might inadvertently disrupt services, exploit vulnerabilities, lead to system instability or breaches and violate Terms of Service from our upstream providers. Our own security systems won't be able to distinguish hostile reconnaissance from whitehat research. If you wish to run an automated scanner, notify us at security@capgo.app and only run it on your own Capgo project. Do NOT attack projects of other customers.
  • 취약점이나 문제를 발견한 경우, 필요하지 않은 데이터를 다운로드하거나 다른 사람의 데이터를 삭제하거나 수정하지 마십시오.

보고 지침:

  • 보고는 GitHub 보안 고지서를 통해 제출하십시오. https://github.com/Cap-go/capgo/security/advisories/new
  • 문제를 재현할 수 있는 충분한 정보를 제공해 주세요. 그러면 문제를 해결할 수 있는 가장 빠른 시간 내에 해결할 수 있습니다.
  • 우리는 Capgo 플러그인에 대한 보안 보고서를 수락하고 검토합니다. 그러나 @capgo/capacitor-업데이터에서만 code 플러그인에 대한 유료 보너티가 제한됩니다. 다른 Capgo 플러그인은 우리의 유료 제품에 포함되지 않으므로, 그에 대한 보고서는 검토되지만 비용이 없습니다.

보호 지침:

  • 우리의 고객을 보호하기 위해, 다른 사람들에게 문제를 공개하지 마세요. 우리는 문제를 조사하고, 해결하고, 우리의 영향을 받은 고객에게 알리기 전에.
  • 만약 Capgo에 대한 연구를 발표하고 싶다면, 30일 전에 발표 예정일 이전에, 우리에게 검토와 승인에 대한 초안을 공유해 주세요. 다음은 포함되지 않는 내용입니다:
    • Capgo 고객 프로젝트에 대한 데이터
    • Capgo 고객의 데이터
    • Capgo 직원, 계약자 또는 파트너에 대한 정보

우리가 약속하는 것:

  • 우리는 7일 이내에 보고서에 대한 평가와 해결 예정일을 포함한 답변을 제공할 것입니다.
  • 만약 위의 지침을 따랐다면, 우리는 보고서에 대한 법적 조치를 취하지 않을 것입니다.
  • 우리는 귀하의 신고에 대한 엄격한 비밀성을 유지하고, 귀하의 개인 정보를 귀하의 허락 없이 제 3 자에게 전달하지 않습니다.
  • 우리는 문제 해결을 위한 진행 상황에 대해 귀하에게 정보를 제공합니다.
  • 문제 보고에 관한 공개 정보에서, 우리는 문제 발견자로 귀하의 이름을 제공합니다 (귀하가 그렇지 않으면 원치 않는 경우).
  • 공유된 로그에 나타나는 유출된 데이터가 debug 정보로 문제 해결을 위해 사용된 것으로 간주되며, 복수 또는 복수에 대한 이유로 복수하지 않습니다.

우리는 모든 문제를 가능한 한 빠르게 해결하고, 문제가 해결된 후에 최종적으로 문제에 대한 출판에 적극적으로 참여하고 싶습니다.