Dapr july 2020 security audit report

### 文档总结 该文档是Cure53针对微软分布式应用运行时（Dapr）进行的安全审计报告，主要内容如下： #### 1. **项目背景** - **目标**：对Dapr进行全面的安全评估，包括源代码审计和渗透测试。 - **时间**：2020年6月，由Cure53团队完成，共20人天。 - **范围**：覆盖Dapr主仓库、样本应用、状态存储、服务调用、Pub/Sub机制、认证功能等。 #### 2. **测试方法** - **WP1**：源代码审计，重点查找逻辑漏洞和潜在问题。 - **WP2**：渗透测试，针对Dapr的集成和部署环境，测试内容包括状态封装、中间人攻击、DoS缓解、API认证、Pub/Sub范围等。 #### 3. **主要发现** - **12个安全问题**：其中8个是漏洞，4个是潜在弱点。 - **DAP-01-005**：**关键漏洞**，可能导致集群被接管。 - **DAP-01-006**：**中等漏洞**，本地Dapr侧车存在CSRF攻击风险。 - **DAP-01-008**：默认配置下，Dapr允许提取Kubernetes机密。 - **DAP-01-012**：Dapr API与应用之间缺乏身份验证。 - **其他问题**：包括HTTP参数污染、DoS风险等。 #### 4. **改进建议** - **默认配置优化**：强化默认安全设置，避免不必要的暴露。 - **RBAC和网络策略**：建议实施基于角色的访问控制（RBAC）和网络分割策略。 - **文档完善**：补充最佳实践和常见问题的说明，明确安全边界。 - **代码审计**：重点检查用户输入嵌入HTTP请求的场景，防止参数污染。 #### 5. **结论** - **总体评价**：Dapr的安全性设计较为扎实，但仍有改进空间。 - **未来建议**：计划在发布前进行另一次第三方安全评估，解决所有已知问题，并进一步优化安全边界和文档。 该报告强调了Dapr在安全性上的潜力，同时也指出了需要重点关注的配置和实现问题。