Shinyproxy: OWASP/Contrôles de sécurité

Créé le 9 sept. 2020 · 3Commentaires · Source: openanalytics/shinyproxy

Bonjour, un client d'entreprise demande une vérification OWASP pour ShinyProxy - pouvez-vous donner des détails sur les vérifications que vous effectuez ou les vulnérabilités qui ont été trouvées et corrigées ?

question

Source

benkates

Commentaire le plus utile

Merci, nous avons mis en œuvre ce qui suit et n'avons eu aucun risque majeur à partir des résultats du test d'intrusion :

server:
  frameOptions: SAMEORIGIN
  servlet:
    session:
      cookie:
        http-only: true
        secure: true

benkates le 20 oct. 2020

👍2

Tous les 3 commentaires

Salut @benkates Certains clients ont subi des tests d'intrusion et des audits formels de leur infrastructure ShinyProxy. Nous avons travaillé avec eux pour inclure des modifications mineures afin de rendre le logiciel OWASP à l'épreuve. Dans les notes de publication de la version 2.3.1, vous remarquerez de nombreuses petites améliorations de sécurité qui proviennent de cet exercice : https://shinyproxy.io/downloads/

J'espère que cela t'aides!

Meilleur,
Tobie

tverbeke le 11 sept. 2020

👍2

Merci, nous avons mis en œuvre ce qui suit et n'avons eu aucun risque majeur à partir des résultats du test d'intrusion :

server:
  frameOptions: SAMEORIGIN
  servlet:
    session:
      cookie:
        http-only: true
        secure: true

benkates le 20 oct. 2020

👍2

Salut @benkates

Nous utilisons maintenant également OWASP Dependency Check pour nous assurer que nous n'utilisons aucune dépendance avec des vulnérabilités connues.
Plus d'informations peuvent être trouvées sur notre site Web https://shinyproxy.io/documentation/security/#secure -dependencies

La prochaine version majeure de ShinyProxy mettra à jour les dépendances Keycloak et Docker vers la dernière version.