← VoltarSegurança

Achou um buraco?
A gente paga.

Cravar tem bug bounty público, safe harbor pra pesquisadores de boa-fé, e PGP pra reporte criptografado.

Reportar vulnerabilidade

security@cravar.com.br

security.txt (RFC 9116)

/.well-known/security.txt

Programa

Recompensa

R$ 500 a R$ 5.000 por escopo, dependendo da severidade e impacto. Cresce com receita.

PGP

Chave pública em /.well-known/pgp-key.txt. Use pra reportar coisas sensíveis.

Safe harbor

Pesquisador de boa-fé operando dentro do escopo não é processado, denunciado a autoridades ou tem conta banida.

SLAs

Resposta inicial em 48h. Fix P0 em 14d, P1 em 30d, P2 em 90d. Avisamos do progresso por email.

Escopo

✓ In-scope

*.cravar.com.br
app.cravar.com.br
api.cravar.com.br
SDK npm @crava/sdk
CLI npm @crava/cli
Banner OSS @crava/cookies

✗ Out-of-scope

Scan público abusivo (denúncia, não bug)
Spam de DSAR contra clientes nossos
Testes contra produção de clientes sem autorização
CVEs em dependências sem PoC explorável no Cravar
DoS / Stress test
Phishing contra equipe

Como reportar

Mande email pra security@cravar.com.br (criptografado com nossa PGP, se for sensível).
Inclua: passos pra reproduzir, screenshot/vídeo, impacto estimado, sugestão de mitigação.
Resposta inicial em 48h. Triagem, severidade, valor da recompensa.
Fix + pagamento via Stripe ou Pix. Você pode optar por entrar no Hall of Fame público ou ficar anônimo.

Hall of Fame

Em construção. Primeiros nomes aparecem aqui em breve.

Programa

Recompensa

R$ 500 a R$ 5.000 por escopo, dependendo da severidade e impacto. Cresce com receita.

PGP

Chave pública em /.well-known/pgp-key.txt. Use pra reportar coisas sensíveis.

Safe harbor

Pesquisador de boa-fé operando dentro do escopo não é processado, denunciado a autoridades ou tem conta banida.

SLAs

Resposta inicial em 48h. Fix P0 em 14d, P1 em 30d, P2 em 90d. Avisamos do progresso por email.

Escopo

✓ In-scope

*.cravar.com.br
app.cravar.com.br
api.cravar.com.br
SDK npm @crava/sdk
CLI npm @crava/cli
Banner OSS @crava/cookies

✗ Out-of-scope

Scan público abusivo (denúncia, não bug)
Spam de DSAR contra clientes nossos
Testes contra produção de clientes sem autorização
CVEs em dependências sem PoC explorável no Cravar
DoS / Stress test
Phishing contra equipe

Como reportar

Mande email pra security@cravar.com.br (criptografado com nossa PGP, se for sensível).

Inclua: passos pra reproduzir, screenshot/vídeo, impacto estimado, sugestão de mitigação.

Resposta inicial em 48h. Triagem, severidade, valor da recompensa.

Fix + pagamento via Stripe ou Pix. Você pode optar por entrar no Hall of Fame público ou ficar anônimo.

Hall of Fame

Em construção. Primeiros nomes aparecem aqui em breve.

Achou um buraco? A gente paga.

Programa

Recompensa

PGP

Safe harbor

SLAs

Escopo

Como reportar

Hall of Fame

Achou um buraco? A gente paga.

Programa

Recompensa

PGP

Safe harbor

SLAs

Escopo

Como reportar

Hall of Fame

Achou um buraco?
A gente paga.

Achou um buraco?
A gente paga.