安全政策
联系方式: https://github.com/Cap-go/capgo/security/advisories/new
规范: https://capgo.app/security.txt
在Capgo,我们认为系统安全是首要任务。然而,无论我们如何努力提高系统安全性,仍然可能存在漏洞。
如果您发现漏洞,我们希望您能告知我们,以便我们尽快采取措施来解决它。我们希望您能帮助我们更好地保护我们的客户和系统。
不在范围内的漏洞:
- 页面中没有敏感操作的Clickjacking。
- 未经认证/登出/登录CSRF。
- 需要中间人攻击或物理访问用户设备的攻击。
- 需要社会工程学的攻击。
- 可能导致我们的服务中断的任何活动(DoS)。
- 不显示攻击向量/无法修改HTML/CSS的内容伪造和文本注入问题。
- 电子邮件伪造。
- 缺少DNSSEC、CAA、CSP头部。
- 非敏感cookie中缺少Secure或HTTP only标志。
- 死链。
- 用户枚举。
- 针对Webhook或网站预览的SSRF或DNS伪造报告。这些功能运行在无服务器基础设施上,无法用于访问私有Capgo基础设施,因此在我们的环境中不可利用。
- 用户拥有的应用程序 code 或项目配置,Capgo 不拥有、不运输或控制,包括文件,如 capacitor.config.ts、config.capacitor.ts、应用源 code 和环境特定设置。
- 访问 Capgo 打包文件或证明打包文件可以下载。打包文件是公共网络资产,用户已知此信息,并认为对其访问不是数据泄露。
已知 Supabase Auth 限制
某些发现反复报告并与 Supabase Auth 行为相关。这些只有在它们可以在与我们的设置类似的共享 Supabase 演示项目中重现时才被视为 Supabase 端问题。并且当 Supabase 配置更改修复行为而不改变 Capgo 安全规则时。若修复需要更改 Capgo 所有 SQL、RPCs、RLS 策略、函数或应用逻辑,则为 Capgo 问题,应报告给我们。
- 报告必须包含可重现的演示 Supabase 项目,包括步骤,匹配我们的设置并演示行为。
- 报告必须包含精确的修复路径:要么是 Supabase 设置/配置更改以解决行为,要么是 Capgo 所有 code/config 对象必须更改。
- 帐户/电子邮件流程将验证为 Supabase 项目设置(例如,是否禁用电子邮件验证并使用捕获流程)。
- 密码和电子邮件/密码更新流程可能依赖于当前 Supabase Auth 会话和重新验证设置。
- 如果一个演示项目证明了一个具体的 Supabase-side 修复,没有任何 Capgo 政策变化,或者显示了一个具体的 Capgo 所有权缺陷,我们将其作为可操作的项目进行审查。
测试指南:
- 不要在其他客户项目上运行自动扫描器。运行自动扫描器可能会为我们的用户增加成本。Aggressively 配置的扫描器可能会意外中断服务,利用漏洞,导致系统不稳定或违反我们的上游提供商的服务条款。我们的安全系统无法区分恶意探测和白帽研究。如果您想运行自动扫描器,请通知我们 security@capgo.app,并且只在您的 Capgo 项目上运行。不要攻击其他客户的项目。
- 不要利用您发现的漏洞或问题,例如下载比必要的更多数据来展示漏洞,或者删除或修改其他人的数据。
报告指南:
- 通过我们的 GitHub 安全建议:: 提交您的发现。 https://github.com/Cap-go/capgo/security/advisories/new
- 请提供足够的信息来重现问题,我们将尽快解决它。
- 我们接受并审查 Capgo 插件的安全报告,但针对 @capgo/capacitor-updater 的付费奖金仅限于 code 插件。其他 Capgo 插件是免费使用的,不属于我们的付费产品,因此报告它们是审查的,但不付费。
披露指南:
- 为了保护我们的客户,直到我们进行了调查、解决并通知了受影响的客户,请不要向他人透露问题。
-
如果您想在会议、博客或任何其他公开论坛上公开分享有关Capgo的研究,请至少在发布日期前 30 天与我们分享一份草稿进行审查和批准。
- Data regarding any Capgo customer projects
- Capgo客户项目的数据
- Capgo客户的数据
__CAPGO_KEEP_0__员工、承包商或合作伙伴的信息
- 我们承诺:
- 我们将在 7 个工作日内对您的报告进行评估并提供预计解决日期的回复。
- 如果您遵循了上述指示,我们将不会对报告采取法律行动。
- 我们将严格保密处理您的报告,并不会将您的个人信息透露给第三方而不经您的许可。
- 我们将向您通报解决问题的进展。
- 在公开信息中,我们将您的名字作为问题发现者的身份(除非您有其他要求)。
我们致力于尽快解决所有问题,并希望在问题解决后在最终发布中发挥积极作用。