安全政策
联系: https://github.com/Cap-go/capgo/security/advisories/new
规范的: https://capgo.app/security.txt
在Capgo,我们将系统的安全性视为首要任务。然而,无论我们投入多少努力来保障系统安全,仍可能存在漏洞。
如果您发现了一个漏洞,我们希望得知这个信息,以便我们尽快采取措施解决它。我们希望请您帮助我们更好地保护我们的客户和系统。
超出范围的漏洞:
- 在没有敏感操作的页面上进行点击劫持。
- 未经认证/登出/登录 CSRF。
- 需要MITM或物理访问用户设备的攻击。
- 需要社会工程学的攻击。
- 可能导致我们服务中断(DoS)的任何活动。
- 内容欺骗和文本注入问题,无法显示攻击向量/无法修改HTML/CSS。
- 电子邮件欺骗
- 缺少 DNSSEC,CAA,CSP 头部信息
- 在非敏感cookie上缺少安全或仅HTTP标志
- 死链
- 用户枚举
测试指南:
- 请不要在其他客户的项目上运行自动扫描器。运行自动扫描器可能会增加我们用户的成本。配置过于激进的扫描器可能无意中破坏服务,利用漏洞,导致系统不稳定或违反我们上游提供商的服务条款,并且可能引发安全问题。我们自己的安全系统无法区分敌对侦查和白帽研究。如果您希望运行一个自动扫描器,请通过security@capgo.app通知我们,并只在您自己的Capgo项目上运行它。请不要攻击其他客户的项目。
- 不要利用你发现的漏洞或问题,例如通过下载超过证明漏洞所需的数据,或删除或修改他人的数据。
报告指南:
- 通过我们的GitHub安全咨询提交您的发现:: https://github.com/Cap-go/capgo/security/advisories/new
- 请提供足够的信息以复现问题,这样我们就能尽快解决它。
信息披露指南:
- 为了保护我们的客户,除非我们已经研究、处理并通知了受影响的客户,否则请不要向他人透露问题。
- 如果您想在会议、博客或任何其他公共论坛上公开分享关于Capgo的研究,您应该至少在发布日期前30天与我们分享草稿进行审查和批准。请注意,以下内容不应包含在内:
- 有关任何Capgo客户项目的数据
- Capgo客户的数据
- 关于Capgo员工、承包商或合作伙伴的信息
我们承诺的是:
- 我们将在7个工作日内回复您的报告,给出我们对报告的评估以及预期的解决日期。
- 如果你已按照上述指示操作,我们将不会因报告而对你采取任何法律行动。
- 我们将严格保密处理您的报告,未经您的许可,不会将您的个人信息透露给第三方。
- 我们将会向您报告解决问题的进展情况。
- 在公开的有关报告问题的信息中,我们会将您列为问题的发现者(除非您另有要求)。
我们力求尽快解决所有问题,并希望在问题解决后,能积极参与最终的问题公布。