Bezpečnostný audit 2025 od cure53
Bezpečnosť bola vždy jadrom toho, čo robíme v Psono. Preto s radosťou zdieľame výsledky nášho najnovšieho bezpečnostného auditu, ktorý vykonala renomovaná kybernetická bezpečnostná spoločnosť Cure53. Ich komplexný white-box penetračný test a audit zdrojového kódu bol zameraný na Psono rozšírenia do prehliadačov (Chrome, Firefox, Edge), náš backend API a súvisiace endpointy.
"Celoplošné využitie knižnice PyNaCl v aplikácii zabezpečuje efektívnu manipuláciu s dátami a kryptografiu."
— Cure53 Bezpečnostná správa, marec 2025
Čo audit zahŕňal
Audit, ktorý pozostával zo štyroch samostatných pracovných balíkov (WP), hodnotil klientsku aj serverovú časť Psona:
- WP1–WP3: Rozšírenia pre Chrome, Firefox a Edge
- WP4: Backend API a endpointy
Tím spoločnosti Cure53 získal plný prístup k nášmu zdrojovému kódu, dokumentácii a interným zdrojom. Počas dvanástich dní ich päťčlenný tím dôkladne preveril bezpečnosť našej infraštruktúry.
Zistenia a opravy
Bolo identifikovaných celkovo osem bezpečnostných problémov rôznej závažnosti od nízkej po vysokú:
- 0 kritických problémov
- 1 problém vysokej závažnosti
- 3 problémy strednej závažnosti
- 4 problémy nízkej závažnosti alebo iné drobné nedostatky
Všetky zraniteľnosti boli už opravené a overené spoločnosťou Cure53. Kde to bolo vhodné, implementovali sme aj ďalšie zmierňujúce opatrenia ako CSP (Content Security Policy), validáciu protokolov, aktualizácie závislostí a bezpečnejšie správanie pri automatickom vypĺňaní údajov.
Úplný zoznam zistení vrátane technických detailov a poznámok k náprave nájdete vo verejnej verzii správy Cure53 priloženej nižšie.
Prečo je to dôležité
Transparentnosť našich bezpečnostných postupov posilňuje dôveru používateľov v Psono. Open-source projekty zásadne profitujú z verejnej kontroly—a my ju vítame.
Sme hrdí, že správa vyzdvihuje silu našich existujúcich bezpečnostných opatrení. Mimoriadne dôležité je, že pri mnohých zistených problémoch bol ich potenciálny dosah minimalizovaný už navrhnutou architektúrou, napríklad prostredníctvom kontrol prístupu API kľúčov a dôsledným uplatňovaním pravidiel CSP.
Stiahnite si celú správu
Úplnú správu od tímu Cure53 si môžete prečítať tu:
