Dapr september 2023 security audit report

《Dapr September 2023 Security Audit Report》总结如下： ### 1. **报告概况** - **作者**：Adam Korczynski 和 David Korczynski（Ada Logics 公司）。 - **日期**：2023 年 9 月 6 日。 - **许可协议**：Creative Commons 4.0 (CC BY 4.0)。 ### 2. **执行摘要** - 该报告是对 Dapr 的安全性进行的全面审计，发现了 7 个安全问题，其中 1 个未修复，其余已修复。 - 添加了 5 个模糊测试（fuzzers）到 Dapr 的模糊测试套件，并分配了 1 个 CVE 号（CVE-2023-37475）。 - 报告包括威胁模型、SLSA 合规性评估以及供应链安全缓解建议。 ### 3. **项目概述** - **审计团队**：Ada Logics 的 Adam Korczynski 和 David Korczynski。 - **Dapr 社区参与者**：包括 Yaron Schneider、Alessandro Segala、Artur Souza 和 Bernd Verst 等。 - **_facilitators_**：OSTIF（Open Source Technology Improvement Fund）团队参与了审计。 ### 4. **审计范围** - 审计范围涵盖了 Dapr 的核心组件和相关依赖项，重点评估其安全性和供应链完整性。 ### 5. **发现的问题** - **总体情况**：共发现 7 个安全问题，其中 1 个未修复，6 个已修复。 - **具体问题**： 1. **ADA-DAPR-23-1**：缺少证书验证绕过的警告（已修复）。 2. **ADA-DAPR-23-2**：云服务大响应导致的拒绝服务（DoS）问题（已修复）。 3. **ADA-DAPR-23-3**：SQL 提示符未清理以防止注入（已修复）。 4. **ADA-DAPR-23-4**：绕过响应大小限制导致拒绝服务（未修复）。 5. **ADA-DAPR-23-5**：使用已归档或弃用的第三方依赖项（已修复）。 6. **ADA-DAPR-23-6**：HTTP 绑定中的可能 DoS（已修复）。 7. **ADA-DAPR-23-7**：PubSub 消息导致的内存耗尽（OOM）问题（已修复）。 ### 6. **供应链缓解措施** - 报告建议 Dapr 使用 Scorecard 项目评估其第三方依赖项的安全性，以减轻供应链风险。 - 强调避免使用已归档或弃用的第三方库，因为这些库可能存在未修复的安全漏洞。 ### 7. **威胁模型与信任边界** - 报告定义了 Dapr 的信任区和信任边界，包括： - 用户与应用程序之间的信任边界。 - 应用程序与 Dapr 边车之间的信任边界。 - Dapr 边车与远程云服务之间的信任边界。 - 强调了 Dapr 需要防御来自用户应用程序和云服务的潜在恶意请求。 ### 8. **模糊测试** - 新增了 5 个模糊测试用例，覆盖了 Dapr 的多个组件，包括： - Azure 事件网格授权头部的验证逻辑。 - GraphQL 组件的正则表达式处理。 - Pulsar PubSub 组件的 Avro 解析逻辑。 - ACL 包的 URL 正规化逻辑。 ### 9. **总结** - 该报告对 Dapr 的安全性进行了全面的评估，发现并修复了大部分安全问题，并提供了改进建议。 - Dapr 社区正在通过模糊测试和供应链安全措施来提升其整体安全性。