作者:Adrianna Tan
我们很高兴地宣布,Vitess 最近接受了由 CNCF/Linux 基金会资助的安全评估。
2019 年 2 月,来自 Cure53 的团队在以下领域进行了测试:
系统复杂性
云基础设施
源代码审计
操作系统交互
低级协议分析
多角度渗透测试
此独立安全审核是在本地安装的系统以及基于 Kubernetes 的群集上执行的。审计员执行:(1)手动代码审计和(2)代码辅助渗透测试。
以下是一些亮点。
“在 Cure53 看来,有明确的意图和后续行动提供一个用于扩展 MySQL 数据库的安全系统。这是通过保持攻击面最小,并选择适合此实现的语言来实现的。审计员设法覆盖了与 Vitess 软件系统主存储库相关的所有方面的广泛覆盖范围。选择最有可能被攻击的途径并验证其恢复能力。”
“这次由 CNCF/Linux 基金会资助的 Cure53 评估,结果证明了 Vitess 数据库缩放器是安全可靠的。通过限制攻击面,适当关注用户提供的输入和安全驱动的最佳实践,以及,在某种程度上,使用 Go 语言生态系统,可以实现这一非常好的结果。”
“虽然这次评估的结果很少,而且可能暗示某种测试限制,但实际上它们证明了 Vitess 团队能够兑现他们所做出的安全承诺。”
审核员给 Vitess 团队确认了三个改进地方。我们感谢 Cure53、CNCF、Linux 基金会和所有项目贡献者的帮助。
点击下载完整报告的 pdf。
KubeCon + CloudNativeCon + Open Source Summit 大会日期:
会议日程通告日期:2019 年 4 月 10 日
会议活动举办日期:2019 年 6 月 24 至 26 日
KubeCon + CloudNativeCon 和 Open Source Summit 赞助方案 KubeCon + CloudNativeCon 和 Open Source Summit 多元化奖学金现正接受申请 KubeCon + CloudNativeCon 和 Open Source Summit 即将首次合体落地中国 KubeCon + CloudNativeCon 和 Open Source Summit 购票窗口,立即购票!CNCF 邀请你加入最终用户社区