47 Star 72 Fork 30

EdgeGallery / community

Create your Gitee Account
Explore and code with more than 12 million developers,Free private repositories !:)
Sign up
Clone or Download
EG v1.3 Security Test Report.md 211.26 KB
Copy Edit Web IDE Raw Blame History

EdgeGallery v1.3 安全测试报告

EdgeGallery v1.3 Security Test Report

1.引言 Introduction

1.1项目简介 Project Description

EdgeGallery社区聚焦5G边缘计算场景,通过开源协作构建起MEC边缘的资源、应用、安全、管理的基础框架和网络开放服务的事实标准,并实现同公有云的互联互通。在兼容边缘基础设施异构差异化的基础上,构建起统一的MEC应用生态系统。

更详细介绍请参考 EdgeGallery 简介

The EdgeGallery community focuses on the 5G edge computing scenario, through open source collaboration to build the basic framework of resources, applications, security, management of the MEC edge and the de facto standard for network open services, and to achieve interconnection with public clouds. Build a unified MEC application ecosystem based on the heterogeneous differentiation of compatible edge infrastructure.

For more detailed introduction, please refer to EdgeGallery Introduction.

1.2报告目的 Report Purpose

本安全测试报告为 EdgeGallery v1.3安全测试报告,目的在于总结安全测试过程中所涉及测试环境、测试用例、测试人员、测试过程、发现安全问题及解决情况等,描述预定需求的符合性及预定质量指标的符合性,并为EdgeGallery开源社区其他成员提供参考。本报告重点在于统计所发现的安全问题和解决情况。安全测试工作由安全工作组执行。安全工作组介绍及工作文档详见 SecurityWG工作目录

This security test report is the EdgeGallery R1.3 version security test report. The purpose is to summarize the test environment, test cases, testers, test process, discovery and resolution of security issues, etc., involved in the security test process, and describe the compliance and Predetermine compliance with quality indicators, and provide references for other members of the EdgeGallery open source community. The focus of this report is on the security issues discovered and the solutions based on statistics. The security testing is executed by the security working group. For the introduction and working documents of SecurityWG, see SecurityWG documents.

2.安全测试概要 Security Test Overview

2.1 测试环境 Test Environment

No. Server IP Usage Passwd
1 192.168.x.x (敏感信息,不公开) Center + Edge

2.2 先决条件 Prerequisites

v1.3里程碑计划 Release Milestone

v1.3需求设计文档 Requirement Design Docs

v1.3需求列表 Epic List on gitee

v1.3特性列表 Story List on gitee

v1.3安全设计文档 Security Design Docs

EdgeGallery安全设计规范 Security Design Guide

2.3 测试用例 Test Cases

请点击 安全合规测试用例渗透测试用例 以查看测试用例具体内容。

Please click Security Compliance Test Cases and Penetration Test Cases to view the specific content of the test cases.

2.4 测试人员及分工 Testers and Division

本次测试人员: 扈冰(测试内容包括UserMgmt、Appstore、Developer、MECM、ATP、MEP、MEPM等模块)。

The testers: Hubing (UserMgmt, Appstore, Developer, MECM, ATP, MEP, ect).

2.5 测试日期 Test Date

整体起止日期:2021.08.16 - 2021.10.10

The overall start and end dates: 2021.08.16 - 2021.10.10

Date Compliance Test Penetration Test Regression Test
08.16 - 08.28 Sprint 1 compliance test Sprint 1 penetration test -
08.30 - 09.10 Sprint 2 compliance test Sprint 2 penetration test Sprint 1 regression test
09.13 - 09.30 Sprint 3 compliance test Sprint 3 penetration test Sprint 2 regression test
10.08 - 10.09 Sprint 3 regression test
10.10 - 10.10 Ready to release

3.安全测试内容 Security Test Content

本次测试共包括sprint1,sprint2,sprint3三个迭代。

首先针对各Story匹配测试用例,然后从安全合规测试渗透测试2个维度展开测试。

测试内容详见 v1.3 Security Test Plan **第5节“测试范围”**相关内容。

The test include three iterations of sprint1, sprint2, and sprint3.

First, match test cases for each Story, and then start testing from the two dimensions of security compliance testing and penetration testing.

For details of Security test content, please refer to v1.3 Security Test Plan Section 5 "Test Scope".

4.安全测试结果 Security Test Result

4.1 测试结果概述 Test Result Overview

v1.3新增安全类问题单共计19个。

本次安全测试过程中,所有发现的安全类问题已在gitee提单(安全类问题单标题均包含“【Security】”标签),请访问gitee v1.3安全类问题单 以查看详情。

4.2 测试结果分析 Test Result Analysis

4.2.1 历史版本安全问题数量对比:

可以看到,v1.3安全问题相比v1.2略有增加,但v1.3解决了一些重要的历史版本遗留安全问题(如防重放攻击、MEPM增加认证/鉴权等),在WebsiteGateway增加了对所有流量访问频率的限制,杜绝了绝大部分的DOS攻击风险,同时几乎没有产生新的严重安全问题,说明EdgeGallery的整体安全性趋于稳步提升。

4.2.2 按漏洞类型统计:

v1.3新增的19个安全问题中,包括信息泄露4个、登录/认证3个、越权/鉴权3个、不安全的配置3个、会话管理2个、输入校验1个、DOS风险1个、文件上传1个、文件签名1个。

①可以看到,敏感信息泄露依然是占比最高的问题类型, 但是信息泄露类问题产生面/覆盖面很广,在以后可能依然是安全问题的高发区域。

②由于v1.3新增了MEPM的登录/鉴权功能,带来了一些新增的认证和权限方面的安全问题。

③在其他类型中(如输入校验、会话管理、文件上传等),由于在历史版本中多次提出,现在已经越来越少见,这说明开发人员的安全开发经验也在不断提升。

4.2.3 按严重性统计:1个严重,8个主要,9个次要,1个不重要。

注:“严重”和“主要”安全问题详见4.4节“严重/主要级别安全问题

4.2.4 按修复状态统计:19个已修复,0个遗留

注:遗留安全问题详见4.5节“遗留安全问题”

4.2.5 按所属模块统计:UserMgmt 1个, AppStore 3个, Developer 5个, MECM 2个, ATP 3个, MEPM 5个

4.2.6 按迭代统计:Sprint1 3个, Sprint2 5个, Sprint3 11个

4.3 安全测试记录/测试数据 Security Test Record

由于安全问题的敏感性,开源社区的工作文档难以做到保密,本版本不记录和上传详细的测试过程。按照测试计划执行测试,安全问题的详细验证过程请查看Gitee v1.3安全问题单

Due to the sensitivity of security issues, it is difficult to keep the working documents of the open source community confidential, and since this version no detailed test procedures are recorded. Perform tests in accordance with the test plan. For the detailed verification process of security issues, please check v1.3 security issues.

4.4 严重/主要级别安全问题 Completed Security Issues

v1.3安全测试过程中共发现严重级别安全问题1个,主要级别安全问题8个,详见下表:

No. Issue 标题 状态 级别
1 【mecm】【Security】Clear text passwords should not be stored in the database 已修复 主要
2 【developer】【Security】数据库中不应存放明文密码 已修复 主要
3 【appstore】【Security】应用详情页面,长时间无操作状态下session不失效 已修复 主要
4 【appstore】【Security】上传包含镜像的虚机应用包,上传失败时,后台没有删除创建的文件 已修复 主要
5 【developer】【Security】应用包中mf文件里没有签名 已修复 严重
6 【mepm】【Security】边缘节点、应用实例等页面/接口未进行鉴权 已修复 主要
7 【mepm】【Security】mepm平台修改密码失败 已修复 主要
8 【ATP】【Security】配置管理页面,TENANT用户可纵向越权访问 已修复 主要
9 【ATP】【Security】用户上传自测用例,不应返回过于详细的信息 已修复 主要

4.5 遗留安全问题 Leaving Security Issues

4.5.1 历史版本遗留安全问题处理情况:

历史版本遗留安全问题4个,现已全部修复完毕。

No. Issue ID Issue 标题 自何版本遗留 修复结论
1 I3XUNS 【user-mgmt】【Security】user-mgmt pod中usr/app/log目录下没有日志文件 v1.2 v1.3转需求,已修复
2 I3DP2D 【mecm】【Security】lcm portal should add login/auth function, or is weak of DOS attack v1.2 v1.3转需求,已修复
3 I28F84 【Security Test】Developer插件上传功能存在重放攻击漏洞 v1.1 已修复
4 I23DY8 【Security Test】mecm-postgresql;developer-fe ;user-mgmt-redis-0 项目默认登录用户为root用户 v1.0 已修复
4.5.2 v1.3新增遗留安全问题:

v1.3无新增遗留安全问题。

No. Issue ID Issue 标题 状态 自何版本遗留 备注
NA NA

5.安全测试结论 Security Test Conclusion

在EdgeGallery v1.3安全测试中,整个测试过程按计划执行,版本特性全部覆盖,对于新增安全问题和历史版本遗留安全问题均已修复完毕,并且没有遗留的安全问题,整体安全性要求满足预期要求。

In the EdgeGallery v1.3 security test, 100% of the test cases were executed, the version stories were all covered, unfixed issues have been left behind , the overall security requirements met the expected requirements.

1
https://gitee.com/edgegallery/community.git
git@gitee.com:edgegallery/community.git
edgegallery
community
community
master

Search

F2647f8d 8189591 Bbdfb06e 8189591