Shinyproxy: OWASP / verificações de segurança

Criado em 9 set. 2020 · 3Comentários · Fonte: openanalytics/shinyproxy

Olá, um cliente corporativo está perguntando sobre uma verificação OWASP para ShinyProxy - há algum detalhe que você possa fornecer sobre as verificações que você faz ou vulnerabilidades que foram encontradas e corrigidas?

question

Fonte

benkates

Comentários muito úteis

Obrigado, implementamos o seguinte e não tivemos grandes riscos com os resultados do teste de caneta:

server:
  frameOptions: SAMEORIGIN
  servlet:
    session:
      cookie:
        http-only: true
        secure: true

benkates em 20 out. 2020

👍2

Todos 3 comentários

Olá @benkates. Alguns clientes passaram por testes e auditorias formais de sua infraestrutura ShinyProxy. Trabalhamos com eles para incluir pequenas alterações para tornar o software à prova de OWASP. Nas notas de lançamento da versão 2.3.1, você notará muitos pequenos aprimoramentos de segurança que se originam neste exercício: https://shinyproxy.io/downloads/

Espero que isto ajude!

Melhor,
Tobias

tverbeke em 11 set. 2020

👍2

Obrigado, implementamos o seguinte e não tivemos grandes riscos com os resultados do teste de caneta:

server:
  frameOptions: SAMEORIGIN
  servlet:
    session:
      cookie:
        http-only: true
        secure: true

benkates em 20 out. 2020

👍2

Oi @benkates

Agora também estamos usando o OWASP Dependency Check para garantir que não usamos dependências com vulnerabilidades conhecidas.
Mais informações podem ser encontradas em nosso site https://shinyproxy.io/documentation/security/#secure -dependencies

A próxima versão principal do ShinyProxy atualizará as dependências do Keycloak e do Docker para a versão mais recente.