Olá, um cliente corporativo está perguntando sobre uma verificação OWASP para ShinyProxy - há algum detalhe que você possa fornecer sobre as verificações que você faz ou vulnerabilidades que foram encontradas e corrigidas?
Olá @benkates. Alguns clientes passaram por testes e auditorias formais de sua infraestrutura ShinyProxy. Trabalhamos com eles para incluir pequenas alterações para tornar o software à prova de OWASP. Nas notas de lançamento da versão 2.3.1, você notará muitos pequenos aprimoramentos de segurança que se originam neste exercício: https://shinyproxy.io/downloads/
Espero que isto ajude!
Melhor,
Tobias
Obrigado, implementamos o seguinte e não tivemos grandes riscos com os resultados do teste de caneta:
server:
frameOptions: SAMEORIGIN
servlet:
session:
cookie:
http-only: true
secure: true
Oi @benkates
Agora também estamos usando o OWASP Dependency Check para garantir que não usamos dependências com vulnerabilidades conhecidas.
Mais informações podem ser encontradas em nosso site https://shinyproxy.io/documentation/security/#secure -dependencies
A próxima versão principal do ShinyProxy atualizará as dependências do Keycloak e do Docker para a versão mais recente.
Comentários muito úteis
Obrigado, implementamos o seguinte e não tivemos grandes riscos com os resultados do teste de caneta: