NATS.io的安全近况

39次阅读

共计 1062 个字符,预计需要花费 3 分钟才能阅读完成。

作者:Colin Sullivan
很多时候,像这样标题的博客或文章都包含坏消息。这不是这里的情况!我们在分享我们的安全审查结果,以及如何在即将到来的 NATS 服务器 2.0 版本中支持我们的新安全功能,预计将于 2019 年第二季度发布。

安全审计
去年 11 月,CNCF 赞助 Cure53 对 NATS 服务器和一些受欢迎的 NATS 客户端进行安全审计。我们为 Cure53 设置了一个安全的服务器来攻击,他们分析了我们的源代码。
“Cure53 选择了双管齐下的方法测试 NATS。为了最大限度地扩大覆盖范围,测试者执行了源代码审计,以及针对 NATS 提供的云实例作经典渗透测试。”
重点放到 NATS 服务器和我们的 Go 客户端,因为它是大多数其他维护者支持的客户端的参考。C 客户端和 Node.js 客户端也进行了测试。
摘要
总的来说,我们觉得 NATS 表现出色。服务器有一个低级别漏洞,已立即修复。
简单得到回报。报告指出,与其他评估的项目相比,大多数 NATS 客户端都很小,因此呈现出小的攻击面。我们的 Go 客户端没有发现任何漏洞。在 C 客户端中有一个严重的溢出问题,已立即修复,所有其他问题都已由 NATS 团队修复或处理。
完整的报告可以在这里获得。
NATS 服务器 2.0 版本
私钥?我们不需要它们。
我们还要求 Cure53 分析 NKEYS(NATS 编码的 Ed25519 密钥)和我们的 JWT 技术,这技术将在 NATS 服务器 2.0 版本中支持我们的新安全功能。没有发现任何漏洞。
在 2.0 版本中,NKEYS 和 NATS JWT 用于基于 nonce 的客户端连接协议,其中服务器持有公共 NKEY,客户端使用其私有 NKEY 签署 nonce。这允许 NATS 成为零信任系统,其中服务器永远不会读取或访问用于连接的私钥。与帐户和帐户之间的安全数据共享相结合时,部署中的安全性可以分散。
请继续关注 NATS 服务器 2.0 版本的更多信息!

KubeCon + CloudNativeCon + Open Source Summit 大会日期:

会议日程通告日期:2019 年 4 月 10 日
会议活动举办日期:2019 年 6 月 24 至 26 日

KubeCon + CloudNativeCon + Open Source Summit 赞助方案 KubeCon + CloudNativeCon + Open Source Summit 多元化奖学金现正接受申请 KubeCon + CloudNativeCon 和 Open Source Summit 即将首次合体落地中国 KubeCon + CloudNativeCon + Open Source Summit 购票窗口,立即购票!CNCF 邀请你加入最终用户社区

正文完
 0