cure53 によるセキュリティ監査 2025
セキュリティは常に Psono における活動の中核にあります。そのため、著名なサイバーセキュリティ企業 Cure53 による最新のセキュリティ監査の結果を共有できることを嬉しく思います。彼らの包括的なホワイトボックス技術の侵入テストとソースコード監査は、Psono ブラウザアドオン (Chrome、Firefox、Edge)、当社のバックエンド API、関連するエンドポイントを対象として行われました。
“PyNaCl の広範な使用により、データの処理と暗号化が効果的に行われています。”
— Cure53 セキュリティレポート, 2025 年 3 月
監査の内容
4 つの専用ワークパッケージ (WP) で行われた監査は、Psono のクライアントサイドとサーバーサイドのコンポーネントを評価しました。
- WP1–WP3: Chrome、Firefox、Edge アドオン
- WP4: バックエンド API とエンドポイント
Cure53 チームは、私たちのソースコード、ドキュメント、内部リソースへの完全なアクセスを許可されました。12 日間にわたり、5 人のチームが私たちのインフラストラクチャのセキュリティを徹底的に評価しました。
発見と修正
合計で8 件のセキュリティ関連の問題が特定され、低から高までの深刻度があります。
- 重大な問題 0 件
- 高深刻度の問題 1 件
- 中程度の深刻度の問題 3 件
- 低深刻度またはその他の問題 4 件
すべての脆弱性は既に修正され、Cure53 により確認済みです。適切な場所では、CSP (コンテンツセキュリティポリシー)、プロトコルの検証、依存関係のアップグレード、より安全な自動入力動作などの追加の軽減策を実施しました。
詳細な技術的洞察や修正メモを含む発見の完全なリストは、以下のリンクにある Cure53 レポートの公開版でお読みいただけます。
なぜこのことが重要なのか
セキュリティ対策について透明性を持つことは、ユーザーが Psono に寄せる信頼を強化するのに役立ちます。オープンソースプロジェクトは、公開された詳細な検証から大いに利益を得ます。私たちはそれを歓迎しています。
特に注目すべきは、既存のセキュリティ対策の強さが報告書によって認められた点です。多くの問題は、API キーアクセス制御や厳格な CSP 実施のようなメカニズムによって影響が制限されていました。
完全なレポートをダウンロード
Cure53 レポートの全文はこちらからお読みいただけます。
