Bonjour, un client d'entreprise demande une vérification OWASP pour ShinyProxy - pouvez-vous donner des détails sur les vérifications que vous effectuez ou les vulnérabilités qui ont été trouvées et corrigées ?
Salut @benkates Certains clients ont subi des tests d'intrusion et des audits formels de leur infrastructure ShinyProxy. Nous avons travaillé avec eux pour inclure des modifications mineures afin de rendre le logiciel OWASP à l'épreuve. Dans les notes de publication de la version 2.3.1, vous remarquerez de nombreuses petites améliorations de sécurité qui proviennent de cet exercice : https://shinyproxy.io/downloads/
J'espère que cela t'aides!
Meilleur,
Tobie
Merci, nous avons mis en œuvre ce qui suit et n'avons eu aucun risque majeur à partir des résultats du test d'intrusion :
server:
frameOptions: SAMEORIGIN
servlet:
session:
cookie:
http-only: true
secure: true
Salut @benkates
Nous utilisons maintenant également OWASP Dependency Check pour nous assurer que nous n'utilisons aucune dépendance avec des vulnérabilités connues.
Plus d'informations peuvent être trouvées sur notre site Web https://shinyproxy.io/documentation/security/#secure -dependencies
La prochaine version majeure de ShinyProxy mettra à jour les dépendances Keycloak et Docker vers la dernière version.
Commentaire le plus utile
Merci, nous avons mis en œuvre ce qui suit et n'avons eu aucun risque majeur à partir des résultats du test d'intrusion :