2025년 cure53의 보안 감사
보안은 항상 Psono의 핵심 가치였습니다. 그래서 저명한 사이버 보안 회사 Cure53가 실시한 최신 보안 감사 결과를 공유하게 되어 기쁩니다. 그들의 종합적인 화이트박스 침투 테스트 및 소스 코드 감사는 Psono 브라우저 확장 프로그램(Chrome, Firefox, Edge), 우리의 백엔드 API 및 관련 엔드포인트에 중점을 두었습니다.
"PyNaCl의 앱 전반에 걸친 사용은 효과적인 데이터 처리와 암호화를 보장합니다."
— Cure53 보안 보고서, 2025년 3월
감사 범위
이번 감사는 네 개의 전용 작업 패키지(WP)에 걸쳐 Psono의 클라이언트 측과 서버 측 구성 요소를 평가했습니다:
- WP1–WP3: Chrome, Firefox, Edge 확장 프로그램
- WP4: 백엔드 API 및 엔드포인트
Cure53의 팀은 우리의 소스 코드, 문서 및 내부 자원에 대한 전체 접근 권한을 부여받았습니다. 열두 일에 걸쳐 다섯 명의 멤버로 구성된 그들의 팀은 우리의 인프라 보안을 세밀하게 평가했습니다.
발견 및 수정
총 여덟 가지 보안 관련 문제가 발견되었으며, 이는 낮음에서 높음까지의 심각도로 분류되었습니다:
- 심각한 문제 없음
- 1건의 높은 심각도 문제
- 3건의 중간 심각도 문제
- 4건의 낮은 심각도 또는 기타 문제
모든 취약점은 이미 Cure53에 의해 수정 및 검증되었습니다. 적절한 경우, 우리는 CSP(콘텐츠 보안 정책), 프로토콜 검증, 종속성 업그레이드, 더 안전한 자동 완성 동작과 같은 추가적인 완화 조치를 시행했습니다.
상세한 기술적 통찰력과 개선 노트를 포함한 발견 사항 전체 목록을 아래에 링크된 Cure53 보고서의 공개 버전에서 확인할 수 있습니다.
이것이 중요한 이유
우리의 보안 관행에 대해 투명성을 유지하는 것은 Psono에 대한 사용자 신뢰를 강화하는 데 도움이 됩니다. 오픈 소스 프로젝트는 대중의 검토로부터 큰 이점을 얻으며, 우리는 이를 환영합니다.
우리의 기존 보안 조치의 강점을 인정받은 것이 자랑스럽습니다. 특히 주목할 만한 점은 확인된 많은 문제들이 API 키 접근 제어와 엄격한 CSP 시행과 같은 메커니즘을 통해 설계상 그 영향을 완화했다는 것입니다.
전체 보고서 다운로드
Cure53의 전체 보고서를 여기에서 읽을 수 있습니다:
