Аудит Безпеки 2025 від cure53
Безпека завжди була у центрі нашої діяльності в Psono. Саме тому ми з радістю ділимося результатами нашого останнього аудиту безпеки, проведеного відомою кібербезпековою компанією Cure53. Їх всебічний white-box пенетраційний тест і аудит вихідного коду були зосереджені на браузерних доповненнях Psono (Chrome, Firefox, Edge), нашому бекенд API та відповідних кінцевих точках.
"Використання PyNaCl на всьому рівні застосунка забезпечує ефективну обробку даних та криптографію." — Звіт з безпеки Cure53, березень 2025
Що Охоплював Аудит
Аудит, який складався з чотирьох окремих робочих пакетів (WP), перевіряв як клієнтську, так і серверну частину Psono:
- WP1–WP3: доповнення для Chrome, Firefox та Edge
- WP4: бекенд API та кінцеві точки
Команда Cure53 отримала повний доступ до нашого вихідного коду, документації та внутрішніх ресурсів. Протягом дванадцяти днів їх команда з п’яти фахівців ретельно перевіряла безпеку нашої інфраструктури.
Виявлені Проблеми та Виправлення
Було виявлено вісім проблем, пов’язаних із безпекою, з різним ступенем важливості:
- 0 критичних проблем
- 1 проблема високої важливості
- 3 проблеми середньої важливості
- 4 незначні чи супутні проблеми
Усі вразливості вже виправлені та перевірені Cure53. Де потрібно, ми впровадили додаткові засоби захисту, такі як CSP (Політики Безпеки Вмісту), валідація протоколів, оновлення залежностей та більш безпечна поведінка автозаповнення.
Повний список знахідок, включаючи технічні подробиці та інформацію про виправлення, ви можете знайти у відкритій версії звіту Cure53 за посиланням нижче.
Чому Це Важливо
Відкритість нашої політики безпеки допомагає зміцнити довіру, яку користувачі покладають на Psono. Проекти з відкритим кодом значно виграють від публічного контролю — і ми цьому лише раді.
Ми пишаємося тим, що звіт відзначає силу наших існуючих заходів безпеки. Особливо важливо, що вплив багатьох ідентифікованих проблем був пом’якшений завдяки продуманому дизайну, через такі механізми, як контроль доступу до API-ключів та суворе застосування політик CSP.
Завантажити Повний Звіт
Ознайомтеся з повним звітом Cure53 тут:
