安全审计 2025 - cure53

cure53 的 2025 年安全审计

安全性一直是我们在 Psono 工作的核心。因此，我们很高兴能与大家分享我们最近的安全审计结果，这次审计由著名的网络安全公司 Cure53 进行。他们进行了全面的白盒渗透测试和源代码审计，重点关注 Psono 浏览器插件（Chrome、Firefox、Edge）、我们的后端 API 和相关端点。

“应用程序范围内使用 PyNaCl 确保了有效的数据处理和加密。”
— Cure53 安全报告，2025 年 3 月

审计内容

审计涵盖了四个专门的工作包（WP），评估了 Psono 的客户端和服务器端组件：

• WP1–WP3：Chrome、Firefox 和 Edge 插件
• WP4：后端 API 和端点

Cure53 的团队获得了我们源代码、文档和内部资源的完全访问权限。在为期十二天的审计中，他们的五人团队认真评估了我们基础设施的安全性。

发现与修复

共计发现了 八个安全相关问题，从低到高的严重程度不等：

• 0 个关键严重性问题
• 1 个高严重性问题
• 3 个中等严重性问题
• 4 个低严重性或其他问题

所有漏洞均已由 Cure53 修复并验证。在适当的情况下，我们还实施了额外的缓解措施，例如 CSP（内容安全策略）、协议验证、依赖关系升级和更安全的自动填充行为等。

您可以在下面链接的 Cure53 报告的公开版本中阅读完整的发现列表，包括详细的技术见解和补救说明。

这为何重要

透明公布我们的安全实践有助于加强用户对 Psono 的信任。开源项目很大程度上受益于公众审查——我们欢迎这种审查。

我们自豪地发现报告承认了我们现有安全措施的强大。尤其值得注意的是，许多已识别问题由于设计中采用了 API 密钥访问控制和严格的 CSP 执行等机制，其影响已被减轻。

下载完整报告

您可以在此处阅读完整的 Cure53 报告：

下载 PDF