跳过主要内容
Capgo logo

安全政策

联系我们: https://github.com/Cap-go/capgo/security/advisories/new
Canonical: https://capgo.app/security.txt

我们在Capgo中始终将系统安全作为首要任务。然而,无论我们多么努力地关注系统安全,仍然可能存在安全漏洞。

如果您发现安全漏洞,我们希望您能及时告知我们,我们可以尽快采取措施解决它。我们希望您能帮助我们更好地保护我们的客户和系统。

不在范围内的安全漏洞:

  • 点击劫持页面无敏感操作
  • 未经认证/注销/登录 CSRF
  • 需要中间人攻击或物理访问用户设备的攻击
  • 需要社会工程学的攻击
  • 可能导致我们的服务中断的任何活动(DoS)
  • 内容伪造和文本注入问题,未显示攻击向量/无法修改 HTML/CSS
  • 电子邮件欺骗
  • 缺少 DNSSEC、CAA、CSP 头
  • 非敏感 cookie 缺少 Secure 或 HTTP only 标志
  • 死链
  • 用户枚举
  • SSRF 或 DNS 欺骗报告针对 webhook 或网站预览。这些功能在无服务器基础设施上运行,无法用于访问私有 Capgo 基础设施,因此它们在我们的环境中不可利用。
  • 用户拥有的应用程序 code 或项目配置, Capgo 不拥有、不运送或不控制,包括文件,如 capacitor.config.ts、config.capacitor.ts、应用程序源 code 和环境特定的设置。
  • 访问 Capgo 打包文件或证明打包文件可以下载。打包文件是公共 web 资产,用户已知此信息,访问它们并不被认为是数据泄露。

已知 Supabase 认证限制

某些发现反复报告并与 Supabase 认证行为相关。这些只有在它们可以在与我们的设置类似的共享 Supabase 演示项目中重现时才被视为 Supabase 端问题。当 Supabase 配置更改修复行为而不改变 Capgo 安全规则时,才会这样。如果修复需要更改 Capgo 所有 SQL、RPC、RLS 策略、函数或应用逻辑,那么这是一个 Capgo 问题,应报告给我们。

  • 报告必须包括一个可重现的演示 Supabase 项目,包括步骤,匹配我们的设置并演示行为。
  • 报告必须包含精确的修复路径:要么是 Supabase 设置/配置更改的解决方案,要么是必须更改的 Capgo 所有 code/config 对象。
  • 帐户/电子邮件流程将验证为 Supabase 项目设置 (例如,是否禁用电子邮件验证并使用捕获流程)。
  • 密码和电子邮件/密码更新流程可能取决于当前 Supabase Auth 会话和重新验证设置。
  • 如果演示项目证明了一个具体的 Supabase 端解决方案,没有 Capgo 政策更改,或者显示了一个具体的 Capgo 所有缺陷,我们将其作为可操作的项目进行审查。

测试指南:

  • 不要在其他客户项目上运行自动化扫描器。运行自动化扫描器可能会为我们的用户增加成本。配置过于激进的扫描器可能会意外中断服务,利用漏洞,导致系统不稳定或违反我们的上游提供商的服务条款。我们的安全系统无法区分恶意探测和白帽研究。如果您想运行自动化扫描器,请通知我们 security@capgo.app,并且只在您的 Capgo 项目上运行。不要攻击其他客户的项目。
  • 不要利用您发现的漏洞或问题,例如下载比必要的更多数据来演示漏洞,或者删除或修改其他人的数据。

报告指南:

  • 通过我们的 GitHub 安全建议提交您的发现。 https://github.com/Cap-go/capgo/security/advisories/new
  • 请提供足够的信息以便我们能够快速解决问题。
  • 我们接受并审查Capgo插件的安全报告,但code插件的付费赏金仅限于@capgo/capacitor-updater。其他Capgo插件是免费的,不属于我们的付费产品,因此报告将进行审查但不付费。

披露指南:

  • 为了保护我们的客户,请不要在我们研究、解决和通知受影响客户之前透露问题。
  • 如果您想在会议、博客或其他公开论坛上公开分享有关Capgo的研究,请至少在发布日期前 30 天与我们分享草稿进行审查和批准。请注意以下内容不应包含:
    • 任何Capgo客户项目的数据
    • Capgo客户的数据
    • Capgo员工、承包商或合作伙伴的信息

我们承诺的内容:

  • 我们将在 7 个工作日内对您的报告进行评估并提供预计解决日期。
  • 如果您遵循了上述说明,我们将不会对报告采取法律行动。
  • 我们将以严格的保密方式处理您的报告,并不会将您的个人信息透露给第三方,除非您同意。
  • 我们将及时向您通报问题解决进展。
  • 在公开的有关问题报告的信息中,我们将您的名字作为问题发现者的身份(除非您另有要求)。
  • 如果泄露的数据出现在我们共享的日志中,我们将其视为用于修复问题的调试信息,而不是作为报复或报复的理由。

我们致力于尽快解决所有问题,并希望在问题解决后在最终发布中发挥积极作用。