Shinyproxy: OWASP / controles de seguridad

Creado en 9 sept. 2020 · 3Comentarios · Fuente: openanalytics/shinyproxy

Hola, un cliente empresarial está preguntando acerca de una verificación OWASP para ShinyProxy: ¿hay algún detalle que pueda dar sobre las verificaciones que realiza o las vulnerabilidades que se han encontrado y abordado?

question

Fuente

benkates

Comentario más útil

Gracias, implementamos lo siguiente y no obtuvimos mayores riesgos con los resultados de la prueba de penetración:

server:
  frameOptions: SAMEORIGIN
  servlet:
    session:
      cookie:
        http-only: true
        secure: true

benkates en 20 oct. 2020

👍2

Todos 3 comentarios

Hola @benkates Algunos clientes pasaron por pentesting y auditorías formales de su infraestructura ShinyProxy. Hemos trabajado con ellos para incluir cambios menores para hacer que el software sea a prueba de OWASP. En las notas de la versión 2.3.1, notará muchas pequeñas mejoras de seguridad que se originan en este ejercicio: https://shinyproxy.io/downloads/

¡Espero que esto ayude!

Mejor,
Tobias

tverbeke en 11 sept. 2020

👍2

Gracias, implementamos lo siguiente y no obtuvimos mayores riesgos con los resultados de la prueba de penetración:

server:
  frameOptions: SAMEORIGIN
  servlet:
    session:
      cookie:
        http-only: true
        secure: true

benkates en 20 oct. 2020

👍2

Hola @benkates

Ahora también estamos usando OWASP Dependency Check para asegurarnos de que no usamos dependencias con vulnerabilidades conocidas.
Puede encontrar más información en nuestro sitio web https://shinyproxy.io/documentation/security/#secure -dependencies

La próxima versión principal de ShinyProxy actualizará las dependencias de Keycloak y Docker a la última versión.