Bezpečnostní Audit 2025 od cure53
Bezpečnost je vždy jádrem toho, co děláme v Psono. Proto jsme nadšeni, že se můžeme podělit o výsledky našeho nejnovějšího bezpečnostního auditu, který provedla renomovaná firma zabývající se kybernetickou bezpečností Cure53. Jejich komplexní penetrační test s bílou skříňkou a audit zdrojového kódu se zaměřily na prohlížečové doplňky Psono (Chrome, Firefox, Edge), naši backend API a související koncové body.
„Celoplošné použití PyNaCl v aplikaci zajišťuje efektivní zpracování dat a kryptografii.“
— Cure53 Bezpečnostní Zpráva, Březen 2025
Co Audit Zahrnoval
Audit, který zahrnoval čtyři specializované pracovní balíčky (WP), hodnotil jak klientské, tak serverové komponenty Psono:
- WP1–WP3: Doplňky pro Chrome, Firefox a Edge
- WP4: Backend API a koncové body
Tým z Cure53 měl plný přístup k našemu zdrojovému kódu, dokumentaci a interním zdrojům. Během dvanácti dnů jejich pětičlenný tým pečlivě posoudil bezpečnost naší infrastruktury.
Zjištění a Opravy
Bylo identifikováno celkem osm bezpečnostních problémů, které se pohybují od nízké po vysokou závažnost:
- 0 problémů kritické závažnosti
- 1 problém vysoké závažnosti
- 3 problémy střední závažnosti
- 4 nízké závažnosti nebo různé problémy
Všechny zranitelnosti již byly opraveny a ověřeny Cure53. Kde to bylo vhodné, implementovali jsme dodatečná opatření, jako jsou CSP (Content Security Policies), validace protokolů, aktualizace závislostí a bezpečnější chování automatického vyplňování.
Můžete si přečíst celý seznam zjištění, včetně podrobných technických poznatků a poznámek k nápravě, ve veřejné verzi zprávy Cure53, která je uvedena níže.
Proč Je To Důležité
Být transparentní ohledně našich bezpečnostních praktik pomáhá posílit důvěru, kterou nám naši uživatelé dávají. Otevřené zdrojové projekty značně těží z veřejné kontroly—a my ji vítáme.
Jsme hrdí na to, že zpráva uznává sílu našich stávajících bezpečnostních opatření. Obzvláště pozoruhodné je, že mnoho z identifikovaných problémů mělo svůj dopad zmírněný designem, prostřednictvím mechanismů, jako jsou klíčové přístupy API a přísné vynucování CSP.
Stáhněte Si Celou Zprávu
Celou zprávu Cure53 si můžete přečíst zde:
