安全政策

联系方式： https://github.com/Cap-go/capgo/security/advisories/new
规范： https://capgo.app/security.txt

在Capgo，我们认为系统安全是首要任务。然而，无论我们多么努力地关注系统安全，仍然可能存在漏洞。

如果您发现漏洞，我们希望您能告知我们，以便我们尽快采取措施解决它。我们希望您能帮助我们更好地保护我们的客户和系统。

不在范围内的漏洞：

• 点击劫持页面无敏感操作时。
• 未经认证/登出/登录 CSRF。
• 需要中间人攻击或物理访问用户设备的攻击。
• 需要社会工程学的攻击。
• 可能导致我们的服务中断的任何活动（DoS）。
• 不显示攻击向量/无法修改 HTML/CSS 的内容伪造和文本注入问题。
• 电子邮件伪造
• 缺少 DNSSEC、CAA、CSP 头
• 非敏感 cookie 缺少 Secure 或 HTTP only 标志
• 死链
• 用户枚举
• SSRF 或 DNS 伪造报告针对 webhook 或网站预览。这些功能在无服务器基础设施上运行，无法用于访问私有Capgo基础设施，因此在我们的环境中不可利用。

已知 Supabase Auth 限制

一些发现反复报告并与 Supabase Auth 行为相关。这些只有在它们可以在与我们的设置类似的共享 Supabase 演示项目中重现时才被视为 Supabase 端问题。并且当 Supabase 配置更改修复行为而不改变 Capgo 安全规则时才会处理。若修复需要更改 Capgo 所有 SQL、RPCs、RLS 策略、函数或应用逻辑，则为 Capgo 问题，应报告给我们。

• 报告必须包含可重现的演示 Supabase 项目，包括步骤，匹配我们的设置并展示行为。
• 报告必须包含精确的修复路径：要么是 Supabase 设置/配置更改以解决行为，要么是 Capgo 所有 code/配置对象必须更改。
• 帐号/电子邮件流程将验证为 Supabase 项目设置（例如，是否禁用电子邮件验证并使用捕获流程）。
• 密码和电子邮件/密码更新流程可能依赖于当前 Supabase Auth 会话和重新验证设置。
• 如果演示项目证明了一个具体的 Supabase 端修复而无需 Capgo 政策更改，或者显示了一个具体的 Capgo 所有缺陷，我们将其作为可执行项进行审查。

测试指南：

• 请勿在其他客户项目上运行自动扫描器。运行自动扫描器可能会为我们的用户增加成本。配置过于激进的扫描器可能会意外中断服务、利用漏洞、导致系统不稳定或安全漏洞并违反我们的上游供应商服务条款。我们的安全系统无法区分恶意探测和白帽研究。如果您想运行自动扫描器，请通知我们 security@capgo.app，并只在您的 Capgo 项目上运行。请勿攻击其他客户的项目。
• 在发现漏洞或问题后，不要利用它，例如下载比必要的更多数据来演示漏洞或删除或修改其他人的数据。

报告指南：

• 通过我们的 GitHub 安全公告提交您的发现： https://github.com/Cap-go/capgo/security/advisories/new
• 请提供足够的信息来复现问题，以便我们尽快解决。

披露指南：

• 为了保护我们的客户，请勿在我们研究、解决和通知受影响客户之前透露问题。
• 如果您想在会议、博客或其他公开论坛上公开分享有关 Capgo 的研究，请至少在发布日期前 30 天与我们分享草稿进行审查和批准。请注意，以下内容不应包含：
  • 有关任何Capgo客户项目的数据
  • Capgo客户的数据
  • 有关Capgo员工、承包商或合作伙伴的信息

我们承诺的内容：

• 我们将在7个工作日内对您的报告进行评估，并提供预计解决日期的回复。
• 如果您遵循了上述指示，我们将不会对报告采取法律行动。
• 我们将严格保密处理您的报告，并不会将您的个人信息透露给第三方而不经您的许可。
• 我们将为解决问题的进展提供更新。
• 在有关问题的公共信息中，我们将将您的姓名作为问题发现者的名称（除非您有其他要求）。

我们致力于尽快解决所有问题，并希望在问题解决后在最终发布中发挥积极作用。