漏洞赏金计划
Capgo致力于安全和透明。我们所有的代码都是开源的,我们欢迎安全研究人员帮助我们识别代码库中的漏洞。
开源代码
Capgo组织中的每个仓库都是开源的。您可以审查、审计和贡献我们的代码。
GitHub组织: github.com/Cap-go
有效报告的要求
要符合漏洞赏金计划的资格,您的报告必须满足以下所有要求:
- 您必须在我们的GitHub仓库中识别漏洞所在的精确文件和行号
- 您的报告必须通过相关仓库的GitHub Security Advisory提交
- 您必须包含漏洞及其潜在影响的清晰描述
- 您必须提供可重现的步骤来演示问题
重要: 如果您无法提供问题所在的GitHub中精确的代码行,您的报告将不符合漏洞赏金计划的资格。报告必须仅通过GitHub Security Advisory提交。奖励将通过 Algora.io 支付。请在该平台创建账户,我们将直接在平台上向您付款。
Response Time and Respect
We are friendly and we do pay for valid reports, but we cannot work with people who do not respect our time. Please keep communication calm and follow this program.
- We respond to security reports and breaches within 24-72 hours.
- Do not spam us. More than three emails in a single day is considered spam and will be blocked.
- We do not pay for reports that ignore these rules or are spam.
- Only in-scope reports that follow this bug bounty program are accepted; anything else may be blocked.
重要: Payments are issued only after we have identified the issue, fixed it, opened a pull request, and you have verified after release that the fix works for you. This process typically takes 3-5 days. Please do not send messages like "to get paid"; payment happens only once the release is live and you've tested and validated the fix.
如何报告
- 导航到GitHub上的相关仓库
- 点击"Security"标签
- 点击"Report a vulnerability"创建新的安全公告
- 包含漏洞存在的精确文件路径和行号
- 提供详细的重现步骤并解释安全影响
范围外
- 没有GitHub中精确代码行引用的报告
- 未通过GitHub Security Advisory提交的报告
- 没有概念验证的理论漏洞
- 第三方依赖或服务的问题(请上游报告,例如 Supabase)。
- 社会工程或网络钓鱼尝试
- 拒绝服务攻击
Supabase 与第三方服务
如果问题在 Supabase 且与 Supabase 端点相关,请向 Supabase 报告(不是 Capgo)。只有能复现并给出在与我们相同配置的 Supabase 项目中可通过具体设置/配置更改避免的问题,才在此有效。
示例
此处无效
- Supabase 平台漏洞或宕机
- 无法复现的发现
- 没有给出可修复的 Supabase 设置更改
此处有效
- 可通过 Supabase 设置修复的误配置(含步骤)
- Capgo 集成导致 Supabase 使用不安全的问题
- 可通过明确 Supabase 配置更改修复的可复现问题
如有关于漏洞赏金计划的问题,请通过GitHub Security Advisories联系我们。