Hallo, ein Unternehmenskunde fragt nach einer OWASP-Prüfung für ShinyProxy. Gibt es Details zu den von Ihnen durchgeführten Prüfungen oder gefundenen und behobenen Schwachstellen?
Hallo @benkates Einige Kunden haben Pentesting und formale Audits ihrer ShinyProxy-Infrastruktur durchlaufen. Wir haben mit ihnen zusammengearbeitet, um kleinere Änderungen vorzunehmen, um die Software OWASP-proof zu machen. In den Release Notes der Version 2.3.1 werden Sie viele kleine Sicherheitsverbesserungen bemerken, die aus dieser Übung stammen: https://shinyproxy.io/downloads/
Hoffe das hilft!
Am besten,
Tobias
Danke, wir haben folgendes implementiert und haben keine größeren Risiken aus den Pen-Testergebnissen gezogen:
server:
frameOptions: SAMEORIGIN
servlet:
session:
cookie:
http-only: true
secure: true
Hallo @benkates
Wir verwenden jetzt auch OWASP Dependency Check, um sicherzustellen, dass wir keine Abhängigkeiten mit bekannten Schwachstellen verwenden.
Weitere Informationen finden Sie auf unserer Website https://shinyproxy.io/documentation/security/#secure -dependencies
Die nächste Hauptversion von ShinyProxy wird die Abhängigkeiten von Keycloak und Docker auf die neueste Version aktualisieren.
Hilfreichster Kommentar
Danke, wir haben folgendes implementiert und haben keine größeren Risiken aus den Pen-Testergebnissen gezogen: