Auditoria de Segurança 2025 pela cure53

A segurança sempre esteve no centro do que fazemos na Psono. É por isso que estamos empolgados em compartilhar os resultados da nossa auditoria de segurança mais recente, conduzida pela renomada empresa de cibersegurança Cure53. O teste de penetração de caixa branca abrangente e a auditoria de código-fonte deles focaram nos addons de navegador da Psono (Chrome, Firefox, Edge), nossa API de backend e endpoints relacionados.

"O uso amplo do PyNaCl no aplicativo garante um manuseio eficaz de dados e criptografia."
Relatório de Segurança Cure53, Março de 2025

O Que a Auditoria Abrangeu

A auditoria, que se estendeu por quatro pacotes de trabalho dedicados (WPs), avaliou componentes tanto do lado do cliente quanto do lado do servidor do Psono:

  • WP1–WP3: Addons para Chrome, Firefox e Edge
  • WP4: API de backend e endpoints

A equipe da Cure53 teve acesso total ao nosso código-fonte, documentação e recursos internos. Ao longo de doze dias, a equipe de cinco pessoas avaliou minuciosamente a segurança da nossa infraestrutura.

Descobertas e Correções

Um total de oito questões de segurança foram identificadas, variando de baixa a alta severidade:

  • 0 questões de severidade crítica
  • 1 questão de alta severidade
  • 3 questões de severidade média
  • 4 questões de baixa severidade ou diversas

Todas as vulnerabilidades já foram corrigidas e verificadas pela Cure53. Onde apropriado, implementamos mitigações adicionais, como CSPs (Content Security Policies), validação de protocolo, atualizações de dependências e comportamento de preenchimento automático mais seguro.

Você pode ler a lista completa de descobertas, incluindo insights técnicos detalhados e notas de remediação, na versão pública do relatório da Cure53, vinculada abaixo.

Por Que Isso Importa

Ser transparente sobre nossas práticas de segurança ajuda a reforçar a confiança que nossos usuários depositam na Psono. Projetos de código aberto se beneficiam muito do escrutínio público — e nós o recebemos de braços abertos.

Estamos orgulhosos de que o relatório reconheça a força das nossas medidas de segurança existentes. É particularmente notável que muitos dos problemas identificados tiveram seu impacto mitigado por design, através de mecanismos como controles de acesso de chave de API e aplicação rigorosa de CSPs.

Baixe o Relatório Completo

Você pode ler o relatório completo da Cure53 aqui:

Baixar o PDF

escrito por Sascha Pfeiffer em March 29, 2025
Documentação do Psono

Procurando por mais?

Confira nossos artigos mais recentes aqui!