Dragonfly 完成 CNCF 安全审计!

转载 于 2023-09-20 19:38:22 发布 · 134 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzUzMzU5Mjc1Nw==&mid=2247542415&idx=1&sn=50a4f3675db8f62c04ec317ee5465f59&chksm=faa3c955cdd440435c6344b12226661b988e613e1187e1eb06e8f867ccb30b21fdea2754efce&scene=126&sessionid=0
文章标签:

#安全

52371f3d1c08f6022583f3d482102ad8.jpeg

作者:Dragonfly Maintainer

文章最初在 Dragonfly 博客[1]上发表

今年夏天,在四个工程师周的时间里,Trail of Bits[2] 和 OSTIF 合作对 Dragonfly2 进行了安全审计。作为 CNCF 孵化项目,Dragonfly2[3] 是基于 P2P 技术的文件分发系统。该范围包括用于镜像分发的 Dragonfly 子项目 Nydus[4]。此次合作围绕与项目毕业时的安全性和寿命相关的几个目标进行了概述和构造。

Trail of Bits 审计团队通过使用静态和手动测试以及自动化和手动流程来进行审计。通过引入 semgrep 和 CodeQL 工具,对客户端、调度程序和管理器代码进行手动审查, 并对 gRPC 处理程序进行模糊测试,审计团队能够识别项目的各种结果,以提高其安全性。通过将工作重点放在高级业务逻辑和外部可访问端上,Trail of Bits 审计团队能够在审计过程中确定重点, 并为 Dragonfly2 未来的工作提供指导和建议。

审计报告[5]记录了 19 项调查结果。其中 5 个调查结果被评为高,1 个为中,4 个为低,5 个为信息性, 4 个被认为是未确定的。其中 9 个调查结果被归类为数据验证,其中 3 个属于高严重性。Dragonfly2 的代码库成熟度也进行了排名和审查,包括项目代码的 11 个方面,报告中对这些方面进行了单独分析。

这是一个很庞大的项目,由于时间和范围的限制,无法全面审查。由于这些原因, 多个专门功能不在本次审核的范围之内。该项目是在毕业前继续进行审计工作以改进 和提升代码并强化安全性的绝佳机会。持续的安全努力至关重要,因为安全是一个不断变化的目标。

我们要感谢 Trail of Bits 团队,特别是 Dan Guido、Jeff Braswell、Paweł Płatek 和 Sam Alws 在此项目上所做的工作。感谢 Dragonfly2 的维护者和贡献者, 特别是戚文博,他们持续的工作和对本次活动的贡献。最后,我们感谢 CNCF 为此次审计提供资金并支持开源安全工作。

Dragonfly Star 一下✨:

https://github.com/dragonflyoss/Dragonfly2

138c65aea69ca1c8de7f943e7c1e3119.png

扫描二维码查看 Dragonfly GitHub 页面

Links

OSTIF & Trail of Bits

  • OSTIF:https://ostif.org/

  • Trail of Bits:https://www.trailofbits.com/

  • Security Audit of Dragonfly:https://ostif.org/dragonfly-audit/

Dragonfly community

  • Website:https://d7y.io/

  • Github Repo:https://github.com/dragonflyoss/Dragonfly2

  • Slack Channel:#dragonfly on CNCF Slack

  • Discussion Group:dragonfly-discuss@googlegroups.com

  • Twitter:@dragonfly_oss

Nydus community

  • Website:https://nydus.dev/

  • Github Repo:https://github.com/dragonflyoss/image-service

  • Slack Channel:#nydus

参考资料

[1]. Dragonfly 博客:https://d7y.io/zh/blog/2023/09/15/security-audit

[2]. Trail of Bits:https://www.trailofbits.com/

[3]. Dragonfly2:https://d7y.io/

[4]. Nydus:https://nydus.dev/

[5]. 审计报告:https://ostif.org/wp-content/uploads/2023/09/DragonFly2-Comprehensive-Report-2.pdf

活动推荐|KCD 杭州

90935f2d37869541e9d509d984afc88b.png

杭州是中国东南沿海中心城市之一、浙江省省会。美丽的西湖成就了“上有天堂,下有苏杭”的千古美誉。而今天,这张名片,似乎已经被“电商之都”所取代。杭州凭借着互联网电商经济成为了炙手可热的新一线城市,同时也吸引了很多大型互联网公司,并且具有浓厚的技术氛围。本次也是 Kubernetes Community Days 首次来到杭州,由 CNCF蚂蚁开源龙蜥社区Dragonfly 社区Harbor 社区联合发起。希望能够在这座充满活力的城市进一步推广云原生相关技术。

本次 KCD 杭州站 2023 演讲议题已开放投稿,届时我们会筛选出优秀议题在本次 KCD 杭州站活动中呈现。

036e1ef704171764471f1a17ba5be148.png

扫描二维码即可投递议题

(注:此次活动不提供讲师差旅报销,请您合理安排出行)

议题截止时间

2023 年 9 月 20 日 23:59

活动信息

时间:10 月 21 日(半天)

规模:150~200 人          

形式:线下主题分享+圆桌  

议题涉及方向介绍

本次活动由 云原生供应链 以及 AI 基础设施 两个方向主题会场组成,议题内容可包括软件供应链、AI Infra、容器镜像、DevOps、可观测、安全等热点领域。CNCF 生态中任何与主题相关的开源项目与云原生技术实践的内容均可参与,不局限于 Kubernetes 本身。

云原生计算基金会

CNCF 公众号

CNCF(Cloud Native Computing Foundation)成立于 2015 年 12 月,隶属于 Linux  Foundation,是非营利性组织。

CNCF(云原生计算基金会)致力于培育和维护一个厂商中立的开源生态系统,来推广云原生技术。我们通过将最前沿的模式民主化,让这些创新为大众所用。请关注 CNCF 微信公众号。

SOFAStack
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值