Bezpečnostný audit 2022 od Linkspirit
Bezpečnosť berieme v Psono vážne a snažíme sa robiť všetko pre to, aby sme chránili heslá našich používateľov. Preto sme boli nesmierne nadšení, keď nás Linkspirit oslovil a ponúkol nám svoje služby na audit Psona zadarmo, hlavne keďže žiadna tretia strana dovtedy Psono neauditovala.
Linkspirit je talianska spoločnosť s viac ako desaťročnými skúsenosťami v oblasti IT bezpečnosti a patrí medzi špičku poskytovateľov IT bezpečnostných služieb v Taliansku. Ich portfólio pokrýva širokú škálu služieb ako napríklad
- hodnotenie zraniteľností
- penetračné testy
- bezpečnostné kontroly aplikácií
- hodnotenie kybernetickej bezpečnosti
Ich odbornosť a kompetentnosť sú nepopierateľné, a preto boli vhodným partnerom na audit Psona.
Proces bol priamočiary. Linkspirit poskytol SSH prístup k linuxovému serveru a my sme nasadili Psono podľa verejne dostupnej dokumentácie. Konkrétne boli klient, server a administrátorsky portál nasadené v docker kontajneroch. Ako reverzný proxy bol použitý nginx webserver, nakonfigurovaný podľa bežného inštalačného návodu na spracovanie SSL. Certifikát poskytol letsencrypt.
Linkspirit auditoval Psono a zameral sa najmä na možné body injekcie, porušenia autentifikačných a autorizačných zásad, nesprávne kontroly a detailne preskúmal všetky bezpečnostné hlavičky. V záujme úplnej transparentnosti nájdete kompletné výsledky auditu tu.
Cítime veľkú úľavu a s radosťou oznamujeme, že neboli identifikované žiadne závažné problémy, len pár drobných, „ťažko zneužiteľných zraniteľností“.
„Gratulujeme vám k dobre štruktúrovanému a dobre napísanému kódu, je to prvýkrát, čo sme narazili na také malé množstvo a tak málo závažné zraniteľnosti.“
Nedokážeme Linkspirit dostatočne poďakovať za ich služby! Ich tvrdá práca nám dáva pokojnejší spánok!
