Bezpečnostní audit 2022 od Linkspirit
Bezpečnost bereme u Psono vážně a snažíme se dělat vše pro to, abychom chránili hesla našich uživatelů. Byli jsme velmi potěšeni, když nás Linkspirit oslovil s nabídkou auditovat Psono zdarma, zvláště když Psono dosud nikdy nebylo auditováno žádnou třetí stranou.
Linkspirit je italská společnost s více než desetiletou zkušeností v oblasti IT bezpečnosti a v Itálii se vyšplhala na špičku v oblasti IT bezpečnostních služeb. Jejich portfolio zahrnuje široké spektrum služeb jako:
- hodnocení zranitelností
- penetrační testy
- kontroly bezpečnosti aplikací
- hodnocení kybernetické bezpečnosti
Jejich odbornost a kompetence jsou nesporné, což z nich dělalo ideálního kandidáta pro audit Psono.
Proces byl přímočarý. Linkspirit poskytl SSH přístup k Linux serveru a my jsme nasadili Psono podle veřejně dostupné dokumentace. Především klient, server a admin portál byly nasazeny v docker kontejnerech. Jako reverzní proxy byl použit webserver nginx, který byl nakonfigurován podle pravidelného instalačního průvodce pro zpracování SSL. Certifikát byl poskytnut letsencryptem.
Linkspirit auditoval Psono a zaměřil se zejména na možné body injekce, porušení politik autentizace a autorizace, nesprávné kontroly a podívali se podrobněji na všechny bezpečnostní hlavičky. V zájmu plného zveřejnění najdete kompletní výsledky auditu zde.
Cítíme úlevu a rádi oznamujeme, že nebyly identifikovány žádné zásadní problémy, pouze několik drobných, "těžko zneužitelných zranitelností".
"Gratulujeme vám k vaší dobře strukturovanému a dobře napsanému kódu, je to poprvé, co jsme narazili na tak malé množství tak málo závažných zranitelností."
Nemůžeme dostatečně poděkovat společnosti Linkspirit za jejich služby! Jejich tvrdá práce nám pomáhá spát klidněji v noci!
