Hola, un cliente empresarial está preguntando acerca de una verificación OWASP para ShinyProxy: ¿hay algún detalle que pueda dar sobre las verificaciones que realiza o las vulnerabilidades que se han encontrado y abordado?
Hola @benkates Algunos clientes pasaron por pentesting y auditorías formales de su infraestructura ShinyProxy. Hemos trabajado con ellos para incluir cambios menores para hacer que el software sea a prueba de OWASP. En las notas de la versión 2.3.1, notará muchas pequeñas mejoras de seguridad que se originan en este ejercicio: https://shinyproxy.io/downloads/
¡Espero que esto ayude!
Mejor,
Tobias
Gracias, implementamos lo siguiente y no obtuvimos mayores riesgos con los resultados de la prueba de penetración:
server:
frameOptions: SAMEORIGIN
servlet:
session:
cookie:
http-only: true
secure: true
Hola @benkates
Ahora también estamos usando OWASP Dependency Check para asegurarnos de que no usamos dependencias con vulnerabilidades conocidas.
Puede encontrar más información en nuestro sitio web https://shinyproxy.io/documentation/security/#secure -dependencies
La próxima versión principal de ShinyProxy actualizará las dependencias de Keycloak y Docker a la última versión.
Comentario más útil
Gracias, implementamos lo siguiente y no obtuvimos mayores riesgos con los resultados de la prueba de penetración: