Аудит Безопасности 2025 от cure53
Безопасность всегда была в центре всего, что мы делаем в Psono. Поэтому мы рады поделиться результатами нашего последнего аудита безопасности, проведенного известной фирмой в сфере кибербезопасности Cure53. Их всесторонний аудит, включающий белый ящик и тестирование на проникновение, а также аудит исходного кода, был сосредоточен на наших браузерных дополнениях Psono (Chrome, Firefox, Edge), нашем API-сервере и связанных конечных точках.
"Широкое использование PyNaCl в приложении обеспечивает эффективную обработку данных и криптографию."
— Отчет о безопасности Cure53, март 2025
Что покрыл аудит
Аудит, охватывающий четыре специализированных рабочих пакета (WP), оценивал как клиентские, так и серверные компоненты Psono:
- WP1–WP3: дополнения для Chrome, Firefox и Edge
- WP4: API-сервер и конечные точки
Команде Cure53 был предоставлен полный доступ к нашему исходному коду, документации и внутренним ресурсам. В течение двенадцати дней их команда из пяти человек тщательно оценила безопасность нашей инфраструктуры.
Результаты и исправления
Обнаружено всего восемь проблем, связанных с безопасностью, от низкой до высокой степени серьезности:
- 0 критических проблем
- 1 проблема высокой серьезности
- 3 проблемы средней серьезности
- 4 проблемы низкой серьезности или разного рода
Все уязвимости уже были устранены и проверены Cure53. Где это было уместно, мы внедрили дополнительные меры, такие как CSP (Политики Безопасности Содержания), проверка протоколов, обновление зависимостей и более безопасное автоматическое заполнение.
Вы можете ознакомиться с полным списком выводов, включая подробные технические инсайты и примечания по исправлению, в публичной версии отчета Cure53 по ссылке ниже.
Почему это важно
Открытость в вопросах безопасности помогает укрепить доверие, которое наши пользователи оказывают Psono. Открытые проекты программного обеспечения значительно выигрывают от публичной проверки — и мы приветствуем это.
Мы гордимся тем, что отчет подтверждает силу наших существующих мер безопасности. Особенно примечательно, что многие из выявленных проблем были уменьшены благодаря нашему дизайну, благодаря таким механизмам, как управление доступом по API-ключам и строгое соблюдение CSP.
Скачать полный отчет
Вы можете прочитать полный отчет Cure53 здесь:
