Audyt Bezpieczeństwa 2025 przez cure53
Bezpieczeństwo zawsze było kluczowym elementem naszej działalności w Psono. Dlatego z radością dzielimy się wynikami naszego najnowszego audytu bezpieczeństwa, przeprowadzonego przez renomowaną firmę z zakresu cyberbezpieczeństwa Cure53. Ich kompleksowy test penetracyjny typu white-box oraz audyt kodu źródłowego skupił się na dodatkach do przeglądarek Psono (Chrome, Firefox, Edge), naszym API backendowym i powiązanych punktach końcowych.
„Szerokie wykorzystanie PyNaCl w aplikacji zapewnia skuteczne zarządzanie danymi i kryptografię.”
— Raport Bezpieczeństwa Cure53, marzec 2025
Co obejmował audyt
Audyt, który obejmował cztery dedykowane pakiety prac (WP), ocenił zarówno komponenty po stronie klienta, jak i serwera w Psono:
- WP1–WP3: Dodatki dla Chrome, Firefox i Edge
- WP4: API backendowe i punkty końcowe
Zespół Cure53 miał pełny dostęp do naszego kodu źródłowego, dokumentacji i zasobów wewnętrznych. W ciągu dwunastu dni ich pięcioosobowy zespół skrupulatnie oceniał bezpieczeństwo naszej infrastruktury.
Znaleziska i poprawki
Zidentyfikowano łącznie osiem zagadnień związanych z bezpieczeństwem, o różnym stopniu zagrożenia:
- 0 zagrożeń o krytycznym stopniu
- 1 zagrożenie o wysokim stopniu
- 3 zagrożenia o średnim stopniu
- 4 zagrożenia o niskim stopniu lub inne problemy
Wszystkie podatności zostały już naprawione i zweryfikowane przez Cure53. Tam, gdzie to możliwe, wdrożyliśmy dodatkowe zabezpieczenia, takie jak CSP (Polityki Bezpieczeństwa Zawartości), walidacja protokołów, aktualizacje zależności oraz bezpieczniejsze działanie funkcji autofill.
Pełną listę znalezisk, w tym szczegółowe informacje techniczne i notatki dotyczące napraw, można znaleźć w publicznej wersji raportu Cure53, podlinkowanej poniżej.
Dlaczego to ma znaczenie
Otwartość w zakresie naszych praktyk związanych z bezpieczeństwem pomaga umacniać zaufanie, jakim darzą nas nasi użytkownicy. Projekty open source czerpią ogromne korzyści z publicznej kontroli — i przyjmujemy ją z otwartymi ramionami.
Jesteśmy dumni, że raport potwierdza siłę naszych istniejących środków bezpieczeństwa. Szczególnie godne uwagi jest to, że wiele zidentyfikowanych problemów miało złagodzone skutki dzięki zastosowanym metodom kontroli dostępu do kluczy API i rygorystycznemu egzekwowaniu CSP.
Pobierz pełen raport
Możesz przeczytać pełny raport Cure53 tutaj:
