Dapr february 2021 security audit report

《Dapr February 2021 Security Audit Report》是对Dapr项目的第二次安全审计报告，重点总结了2021年2月的渗透测试和代码审计结果。以下是核心内容的总结： ### 1. **项目背景** - Dapr是一款面向云和边缘计算的分布式应用运行时，支持构建无状态和有状态的微服务应用。 - 本次审计由Cure53团队执行，耗时8天，主要针对2020年6月首次审计后新增的功能和修复情况。 - 审计范围包括： - 新增功能：app-api令牌、访问控制和环境变量中的秘密存储。 - 修复情况：验证2020年审计中发现的问题。 - 渗透测试：针对Dapr的集成和部署环境。 ### 2. **主要发现** - **高风险问题：** - **DAP-02-013 WP2：访问策略绕过（High）** 由于缺少URL规范化，攻击者可能绕过访问控制策略。该问题已修复。 - **中低风险问题：** - **DAP-01-001 WP1：Sidecar允许MDNS探测（Info）** Docker网络中的服务探测问题仍未解决。 - **DAP-01-007 WP2：HTTP参数污染（Info）** Azure SignalR绑定中的HTTP参数污染问题未修复。 - **DAP-01-011 WP2：HTTP参数污染（Low）** Hashicorp秘密存储中的参数污染问题未修复。 - **已修复问题：** - **DAP-01-004 WP1：Sidecar注入API暴露敏感证书（High）** 已通过认证机制修复。 - **DAP-01-008 WP2：默认情况下泄露Kubernetes秘密（High）** 已通过配置限制修复。 - **DAP-01-012 WP2：Dapr API缺少身份验证（Medium）** 已通过令牌验证修复。 ### 3. **结论与建议** - 总体而言，Dapr的代码质量和安全性表现良好，尤其是高风险问题已得到妥善处理。 - 建议Dapr团队进一步优化默认安全配置，例如采用“deny-all”策略，以提升整体安全性。 - 尽管新增功能未发现重大问题，但需持续关注低风险漏洞的修复。 ### 4. **总结** 本次审计表明，Dapr项目在安全方面取得了显著进展，但仍需在默认配置和低风险问题上进一步改进。Cure53团队对Dapr和微软团队的合作表示高度赞赏，并认为Dapr在安全方面的努力值得肯定。