安全政策

联系我们： https://github.com/Cap-go/capgo/security/advisories/new
规范： https://capgo.app/security.txt

在 Capgo，我们将系统安全作为首要任务。然而，无论我们如何努力确保系统安全，仍然可能存在安全漏洞。

如果您发现安全漏洞，我们希望您能及时告知我们，以便我们尽快采取措施解决问题。我们希望您能帮助我们更好地保护我们的客户和系统。

不在范围内的安全漏洞：

• 点击劫持（无敏感操作的页面）
• 未经认证/注销/登录 CSRF 攻击
• 需要中间人攻击或物理访问用户设备的攻击
• 需要社会工程学攻击
• 可能导致我们的服务中断的任何活动（DoS）
• 内容伪造和文本注入问题（无攻击向量/无法修改 HTML/CSS）
• 电子邮件伪造
• 缺少 DNSSEC、CAA、CSP 头
• 非敏感 Cookie 缺少 Secure 或 HTTP only 标志
• 死链
• 用户枚举

已知 Supabase Auth 限制

一些发现反复报告并与 Supabase Auth 行为相关。这些只有在它们可以在与我们的设置类似的共享 Supabase 演示项目中重现时才被视为 Supabase 端问题。如果行为的修复需要更改 Capgo 安全规则，则不需要更改 Supabase 配置。要修复的行为需要更改 Capgo 所有权的 SQL、RPC、RLS 策略、函数或应用逻辑时，这是一个 Capgo 问题，应报告给我们。

• 报告必须包含一个可复现的 Supabase 演示项目，包括步骤，匹配我们的设置并演示行为。
• 报告必须包含具体的修复路径：要么是 Supabase 设置/配置更改，要么是 Capgo 所有权的 code/配置对象需要更改。
• 帐户/电子邮件流程将验证为 Supabase 项目设置（例如，是否禁用电子邮件验证并使用捕获流程）。
• 密码和电子邮件/密码更新流程可能依赖于当前 Supabase Auth 会话和重新验证设置。
• 如果演示项目证明没有 Capgo 政策更改的具体 Supabase 端修复，或者显示了具体的 Capgo 所有权缺陷，我们将其作为可执行项进行审查。

测试指南：

• 请勿在其他客户项目上运行自动扫描器。自动扫描器可能会为我们的用户增加成本，配置过于激进的扫描器可能会意外中断服务、利用漏洞、导致系统不稳定或安全漏洞并违反我们的上游提供商的服务条款。我们的安全系统无法区分恶意探测和白帽研究。如果您想运行自动扫描器，请通知我们security@capgo.app，并只在您的Capgo项目上运行。请勿攻击其他客户的项目。
• 不要利用您发现的漏洞或问题，例如下载比必要的更多数据以证明漏洞或删除或修改其他人的数据。

报告指南：

• 通过我们的GitHub安全公告提交您的发现： https://github.com/Cap-go/capgo/security/advisories/new
• 请提供足够的信息以便我们尽快解决问题。

披露指南：

• 为了保护我们的客户，请勿在我们研究、解决和通知受影响客户之前透露问题。
• 如果您想在会议、博客或其他公开论坛上公开分享有关Capgo的研究，请至少提前 30 天与我们分享草稿进行审查和批准。请注意，以下内容不应包含：
  • 有关任何Capgo客户项目的数据
  • Capgo客户的数据
  • 有关Capgo员工、承包商或合作伙伴的信息

我们承诺的内容：

• 我们将在7个工作日内对您的报告做出评估并提供预计解决日期的回复。
• 如果您遵循了上述指示，我们将不会对报告采取法律行动。
• 我们将以严格的保密方式处理您的报告，并不会在未经您的许可的情况下将您的个人信息传递给第三方。
• 我们将为解决问题的进展提供更新。
• 在有关问题的公共信息中，我们将将您的姓名作为问题发现者的名称（除非您有其他要求）。

我们致力于尽快解决所有问题，并希望在问题解决后在最终发布中发挥积极作用。