EdgeGallery社区聚焦5G边缘计算场景,通过开源协作构建起MEC边缘的资源、应用、安全、管理的基础框架和网络开放服务的事实标准,并实现同公有云的互联互通。在兼容边缘基础设施异构差异化的基础上,构建起统一的MEC应用生态系统。
更详细介绍请参考 EdgeGallery 简介 。
The EdgeGallery community focuses on the 5G edge computing scenario, through open source collaboration to build the basic framework of resources, applications, security, management of the MEC edge and the de facto standard for network open services, and to achieve interconnection with public clouds. Build a unified MEC application ecosystem based on the heterogeneous differentiation of compatible edge infrastructure.
For more detailed introduction, please refer to EdgeGallery Introduction.
本安全测试报告为 EdgeGallery v1.2版本 安全测试报告,目的在于总结安全测试过程中所涉及测试环境、测试用例、测试人员、测试过程、发现安全问题及解决情况等,描述预定需求的符合性及预定质量指标的符合性,并为EdgeGallery开源社区其他成员提供参考。本报告重点在于统计所发现的安全问题和解决情况。安全测试工作由安全工作组执行。安全工作组介绍及工作文档详见 SecurityWG工作目录。
This security test report is the EdgeGallery R1.2 version security test report. The purpose is to summarize the test environment, test cases, testers, test process, discovery and resolution of security issues, etc., involved in the security test process, and describe the compliance and Predetermine compliance with quality indicators, and provide references for other members of the EdgeGallery open source community. The focus of this report is on the security issues discovered and the solutions based on statistics. The security testing is executed by the security working group. For the introduction and working documents of SecurityWG, see SecurityWG documents.
No. | Server IP | Usage | Passwd |
---|---|---|---|
1 | x.x.x.x (敏感信息,不公开) | Center + Edge |
v1.2需求设计文档 Requirement Design Docs
v1.2安全设计文档 Security Design Docs
EdgeGallery安全设计规范 Security Design Guide
请点击 安全合规测试用例 和 渗透测试用例 以查看测试用例具体内容。
Please click Security Compliance Test Cases and Penetration Test Cases to view the specific content of the test cases.
本次测试人员: 扈冰(包括UserMgmt、Appstore、Developer、MECM、ATP、MEP等)。
The testers: Hubing (UserMgmt, Appstore, Developer, MECM, ATP, MEP, ect).
整体起止日期:2021.05.24 - 2021.07.06
The overall start and end dates: 2021.05.24 - 2021.07.06
Date | Compliance Test | Penetration Test | Regression Test |
---|---|---|---|
05 .24 - 06.04 | Sprint 1 compliance test | Sprint 1 penetration test | - |
06.07 - 06.18 | Sprint 2 compliance test | Sprint 2 penetration test | Sprint 1 regression test |
06.21 - 06.30 | Sprint 3 compliance test | Sprint 3 penetration test | Sprint 2 regression test |
07.01 - 07.02 | Sprint 3 regression test | ||
07.06 - 07.07 | Ready to release |
本次测试共包括sprint1,sprint2,sprint3三个迭代。
首先针对各Story匹配测试用例,然后从安全合规测试和渗透测试2个维度展开测试。
测试内容详见 v1.2 Security Test Plan **第5节“测试范围”**相关内容。
The test include three iterations of sprint1, sprint2, and sprint3.
First, match test cases for each Story, and then start testing from the two dimensions of security compliance testing and penetration testing.
For details of Security test content, please refer to v1.2 Security Test Plan Section 5 "Test Scope".
v1.2共有问题单18个,其中12个为v1.2版本新增问题,6个为v1.1版本遗留问题。
本次安全测试过程中,所有发现的安全类问题已在gitee提单(安全类问题单均包含“【Security】”标签),请访问gitee 安全类问题单 以查看详情。
在12个新增安全问题中:
4.2.1 按漏洞类型统计:认证1个,鉴权1个,信息泄露 2个,DOS 3个,输入校验 2个,日志3个。
可以看到,v1.2版本安全问题整体数量相比v1.1版本明显减少,主要原因是v1.2前台页面改动占比较高,而新增后台接口较少,引入安全问题的风险也随之减少。大的功能方面来看,APPD目前为本地工具,与服务器端没有交互,不会威胁到服务器端安全;虚机部署功能所用虚机环境是用户自行申请,也难以威胁到服务器安全。
①此版本中,日志相关问题较多,User-mgmt、Developer、MECM共计8个pod中都没有日志文件,而2个信息泄露问题也是通过日志泄露了会话ID。
②另外文件上传功能带来的DOS问题(侵占服务器硬盘存储空间)存在已久,也值得重视,在恶意的攻击者面前可以轻松通过攻击脚本侵占服务器硬盘存储空间。而目前的解决方案(Hash校验等)大都是防护力度较弱,难以在恶意攻击者面前造成有效阻碍。最终的解决方法包含以下思路:①通过随机数/时间戳等方式限制重放请求,②增加文件数量/大小等上限的限制,③从网络层面限制单一IP的请求频率。
③在认证方面,v1.2新增了与后台交互的图片验证码,解决了上版本遗留的邮件轰炸、任意用户注册等问题,安全强度大大提高。不过经过测试,该验证码复杂度不高,在恶意攻击者面前,可能通过一些验证码识别工具(如PKAV)在识别验证码后继续执行暴力攻击。在实际测试中,识别验证码后仍然可以执行邮件轰炸攻击。与开发人员讨论后,维持现有强度,不进行更深度改进。
4.2.2 按严重性统计:0个严重,9个主要,3个次要,0个不重要。
注:“严重”和“主要”安全问题详见4.4节“严重/主要级别安全问题。
4.2.3 按修复状态统计:11个已修复,1个遗留
注:遗留安全问题详见4.5节“遗留安全问题”。
4.2.4 按所属模块统计:UserMgmt 3个, AppStore 0个, Developer 4个, MECM 2个, ATP 3个, MEP 0个
4.2.5 按迭代统计:Sprint1 3个, Sprint2 3个, Sprint3 6个
由于安全问题的敏感性,开源社区的工作文档难以做到保密,自本版本开始不再记录详细的测试过程。按照测试计划执行测试,安全问题的详细验证过程请查看Gitee v1.1安全问题单。
Due to the sensitivity of security issues, it is difficult to keep the working documents of the open source community confidential, and since this version no detailed test procedures are recorded. Perform tests in accordance with the test plan. For the detailed verification process of security issues, please check v1.1 security issues.
v1.2版本安全测试过程中共发现严重级别安全问题0个,主要级别安全问题8个,详见下表:
During v1.2 security test, a total of 0 serious-level security issues and 8 main-level security issues were found. See the following table for details:
No. | Issue ID | Issue 标题 | 状态 | 原因 | 修复计划 | 备注 |
---|---|---|---|---|---|---|
1 | I3XUNS | 【user-mgmt】【Security】user-mgmt pod中usr/app/log目录下没有日志文件 | 遗留 | 暂无解决方案 | 遗留至下版本 |
No. | Issue ID | Issue 标题 | 状态 | 自何版本遗留 | 备注 |
---|---|---|---|---|---|
1 | I3DP2D | 【mecm】【Security】lcm portal should add login/auth function, or is weak of DOS attack | 遗留 | v1.1 | 边缘自治Portal未做认证模块,具体认证方案在v1.3讨论 |
2 | I28F84 | 【Security Test】Developer插件上传功能存在重放攻击漏洞 | 遗留 | v1.0 | 目前仅通过hash校验防止重放攻击,防护强度较弱。需要讨论更完善解决方案。 |
3 | I23DY8 | 【Security Test】mecm-postgresql;developer-fe ;user-mgmt-redis-0 项目默认登录用户为root用户 | 遗留 | v1.0 | 正在讨论解决方案,修改标签至v1.3 |
在EdgeGallery v1.2版本安全测试中,整个测试过程按计划执行,版本特性全部覆盖,没有遗留严重安全漏洞,未修复问题均进行了遗留处理,整体安全性要求满足预期要求。
In the EdgeGallery v1.2 version security test, 100% of the test cases were executed, the version stories were all covered, unfixed issues have been left behind , the overall security requirements met the expected requirements.
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。