Vitess安全审计结果(pdf)
作者:Adrianna Tan
我们很高兴地宣布,Vitess最近接受了由CNCF/Linux基金会资助的安全评估。
2019年2月,来自Cure53的团队在以下领域进行了测试:
- 系统复杂性
- 云基础设施
- 源代码审计
- 操作系统交互
- 低级协议分析
- 多角度渗透测试
此独立安全审核是在本地安装的系统以及基于Kubernetes的群集上执行的。审计员执行:(1)手动代码审计和(2)代码辅助渗透测试。
以下是一些亮点。
“在Cure53看来,有明确的意图和后续行动提供一个用于扩展MySQL数据库的安全系统。这是通过保持攻击面最小,并选择适合此实现的语言来实现的。审计员设法覆盖了与Vitess软件系统主存储库相关的所有方面的广泛覆盖范围。选择最有可能被攻击的途径并验证其恢复能力。”
“这次由CNCF/Linux基金会资助的Cure53评估,结果证明了Vitess数据库缩放器是安全可靠的。通过限制攻击面,适当关注用户提供的输入和安全驱动的最佳实践,以及,在某种程度上,使用Go语言生态系统,可以实现这一非常好的结果。”
“虽然这次评估的结果很少,而且可能暗示某种测试限制,但实际上它们证明了Vitess团队能够兑现他们所做出的安全承诺。”
审核员给Vitess团队确认了三个改进地方。我们感谢Cure53、CNCF、Linux基金会和所有项目贡献者的帮助。
KubeCon + CloudNativeCon + Open Source Summit大会日期:
- 会议日程通告日期:2019 年 4 月 10 日
- 会议活动举办日期:2019 年 6 月 24 至 26 日
KubeCon + CloudNativeCon和Open Source Summit赞助方案
KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请
KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国
KubeCon + CloudNativeCon和Open Source Summit购票窗口,立即购票!
CNCF邀请你加入最终用户社区