Sikkerhedsrevision 2025 af cure53
Sikkerhed har altid været i centrum for, hvad vi gør hos Psono. Derfor er vi glade for at kunne dele resultaterne af vores seneste sikkerhedsrevision, udført af det anerkendte cybersikkerhedsfirma Cure53. Deres omfattende white-box penetrationstest og kildekodeaudit fokuserede på Psono browserudvidelserne (Chrome, Firefox, Edge), vores backend API og relaterede endepunkter.
“App-bred brug af PyNaCl sikrer effektiv datahåndtering og kryptografi.”
— Cure53 Sikkerhedsrapport, marts 2025
Hvad Revisionen Omfattede
Revisionen, der omfattede fire dedikerede arbejdspakker (WP’er), evaluerede både klient-side og server-side komponenter af Psono:
- WP1–WP3: Chrome, Firefox og Edge udvidelser
- WP4: Backend API og endepunkter
Teamet fra Cure53 fik fuld adgang til vores kildekode, dokumentation og interne ressourcer. I løbet af tolv dage vurderede deres fempersoners hold omhyggeligt sikkerheden i vores infrastruktur.
Fund og Rettelser
I alt blev otte sikkerhedsrelaterede problemer identificeret, der spænder fra lav til høj alvorlighed:
- 0 Kritiske alvorlighedsproblemer
- 1 Høj alvorlighedsproblem
- 3 Mellem alvorlighedsproblemer
- 4 Lav alvorlighed eller diverse problemer
Alle sårbarheder er allerede blevet rettet og verificeret af Cure53. Hvor det var passende, har vi implementeret yderligere afbødninger såsom CSP'er (Indholdssikkerhedspolitikker), protokolvalidering, opgraderinger af afhængigheder og mere sikker autofyld-adfærd.
Du kan læse den fulde liste over fund, inklusive detaljerede tekniske indsigter og udbedringsnotater, i den offentlige version af Cure53-rapporten, der er linket nedenfor.
Hvorfor Dette er Vigtigt
At være gennemsigtige om vores sikkerhedspraksis hjælper med at styrke den tillid, vores brugere har til Psono. Open source-projekter har stor gavn af offentlig kontrol, og vi byder det velkommen.
Vi er stolte af, at rapporten anerkender styrken af vores eksisterende sikkerhedsforanstaltninger. Især bemærkelsesværdigt er det, at mange af de identificerede problemer havde deres indvirkning afbødet ved design, gennem mekanismer som API-nøgle adgangskontrol og streng CSP-håndhævelse.
Download den Fulde Rapport
Du kan læse den fulde Cure53-rapport her:
