Revisione di Sicurezza 2025 da cure53
La sicurezza è sempre stata al centro di ciò che facciamo in Psono. È per questo che siamo entusiasti di condividere i risultati della nostra revisione di sicurezza più recente, condotta dalla rinomata azienda di cybersecurity Cure53. Il loro test di penetrazione white-box e la revisione del codice sorgente si sono concentrati sugli addon del browser Psono (Chrome, Firefox, Edge), sulla nostra API backend e sugli endpoint correlati.
"L'uso diffuso di PyNaCl garantisce una gestione efficace dei dati e della crittografia."
— Rapporto di Sicurezza Cure53, Marzo 2025
Cosa Ha Coperto la Revisione
La revisione, che ha coperto quattro pacchetti di lavoro dedicati (WP), ha valutato sia i componenti lato client che lato server di Psono:
- WP1–WP3: Addon per Chrome, Firefox, ed Edge
- WP4: API backend ed endpoint
Il team di Cure53 ha avuto pieno accesso al nostro codice sorgente, documentazione e risorse interne. Nel corso di dodici giorni, il loro team di cinque persone ha valutato meticolosamente la sicurezza della nostra infrastruttura.
Risultati e Correzioni
È stato identificato un totale di otto problemi legati alla sicurezza, con severità che varia da bassa ad alta:
- 0 problemi di severità critica
- 1 problema di alta severità
- 3 problemi di severità media
- 4 problemi di bassa severità o vari
Tutte le vulnerabilità sono già state eliminate e verificate da Cure53. Dove appropriato, abbiamo implementato mitigazioni aggiuntive come CSP (Policy di Sicurezza dei Contenuti), validazione dei protocolli, aggiornamenti delle dipendenze e comportamenti di compilazione automatica più sicuri.
Potete leggere l'intero elenco di risultati, comprese le intuizioni tecniche dettagliate e le note di rimedio, nella versione pubblica del rapporto di Cure53 linkato qui sotto.
Perché è Importante
Essere trasparenti sulle nostre pratiche di sicurezza aiuta a rafforzare la fiducia che i nostri utenti ripongono in Psono. I progetti open source beneficiano notevolmente dal controllo pubblico—e noi lo accogliamo con favore.
Siamo orgogliosi del fatto che il rapporto riconosce la solidità delle nostre attuali misure di sicurezza. Particolarmente degno di nota è il fatto che molti dei problemi identificati avevano il loro impatto mitigato per progettazione, attraverso meccanismi come i controlli d'accesso con chiave API e l'applicazione rigorosa dei CSP.
Scarica il Rapporto Completo
Puoi leggere il rapporto completo di Cure53 qui:
