安全政策

联系方式： https://github.com/Cap-go/capgo/security/advisories/new
规范： https://capgo.app/security.txt

Capgo认为系统安全是我们的首要任务。然而，无论我们多么努力地关注系统安全，仍然可能存在漏洞。

如果您发现了漏洞，我们希望您能及时告知我们，我们可以尽快采取措施来解决它。我们希望您能帮助我们更好地保护我们的客户和系统。

不在范围内的漏洞：

• 点击劫持页面中无敏感操作的页面。
• 未经认证的注销/登录 CSRF。
• 需要中间人或物理访问用户设备的攻击。
• 需要社会工程学的攻击。
• 可能导致我们的服务中断的任何活动（DoS）。
• 不显示攻击向量/无法修改 HTML/CSS 的内容伪造和文本注入问题。
• 电子邮件伪造
• 缺少 DNSSEC、CAA 和 CSP 头
• 非敏感 cookie 缺少安全或 HTTP only 标志
• 死链
• 用户枚举
• SSRF 或 DNS 伪造报告针对 webhook 或网站预览。这些功能在无服务器基础设施上运行，无法用于访问私有Capgo基础设施，因此它们在我们的环境中不可利用。

已知 Supabase 认证限制

Some findings are repeatedly reported and tied to Supabase Auth behavior. These are only treated as Supabase-side issues when they can be reproduced in a shared Supabase demo project configured like ours and when a Supabase configuration change fixes the behavior without changing Capgo security rules. If the fix requires changing Capgo-owned SQL, RPCs, RLS policies, functions, or app logic, that is a Capgo issue and should be reported to us.

• 报告必须包含一个可重现的演示 Supabase 项目，包括步骤，匹配我们的设置并演示该行为。
• 报告必须包含精确的修复路径：要么是解决该行为的 Supabase 设置/配置更改，要么是Capgo拥有的code/配置对象必须更改的路径。
• 在 Supabase 项目设置中验证电子邮件流 (例如，是否禁用电子邮件验证并使用捕获流)。
• 密码和电子邮件/密码更新流可能依赖于当前 Supabase Auth 会话和重新验证设置。
• 如果示例项目证明了 Supabase 一侧的具体修复（无需任何 Capgo 政策变更）或显示了具体 Capgo 所有权缺陷，我们将其作为可执行项进行审查。

测试指南：

• 不要在其他客户项目上运行自动化扫描器。运行自动化扫描器可能会为我们的用户增加成本。配置过于激进的扫描器可能会意外中断服务、利用漏洞、导致系统不稳定或违反我们的上游提供商的服务条款。我们的安全系统无法区分恶意探测和白帽研究。如果您想运行自动化扫描器，请通知我们 security@capgo.app 并只在您的 Capgo 项目上运行。不要攻击其他客户的项目。
• 不要利用您发现的漏洞或问题，例如下载比必要的更多数据来演示漏洞或删除或修改其他人的数据。

报告指南：

• 通过我们的 GitHub 安全建议:: 提交您的发现： https://github.com/Cap-go/capgo/security/advisories/new
• 请提供足够的信息以便我们尽快解决问题。

披露指南：

• In order to protect our customers, please do not disclose the problem to others until we have researched, addressed and informed our affected customers.
• If you want to publicly share your research about Capgo at a conference, in a blog or any other public forum, you should share a draft with us for review and approval at least 30 days prior to the publication date. Please note that the following should not be included:
  • 有关任何Capgo客户项目的数据
  • Capgo客户的数据
  • 有关Capgo员工、承包商或合作伙伴的信息

What we promise:

• 我们将在 7 个工作日内对你的报告进行评估，并提供预计解决日期的回复。
• 如果你遵循了上述说明，我们将不会对你的报告采取法律行动。
• 我们将严格保密处理你的报告，并不会将你的个人信息透露给第三方而不经你的同意。
• 我们将及时向你通报问题解决进展。
• 在有关问题的公共信息中，我们将将你的名字作为问题发现者的身份。

我们致力于尽快解决所有问题，我们希望在问题解决后积极参与最终的发布工作。