48 Star 72 Fork 30

EdgeGallery / community

Create your Gitee Account
Explore and code with more than 12 million developers,Free private repositories !:)
Sign up
Clone or Download
EG v1.5 Security Test Report.md 207.58 KB
Copy Edit Web IDE Raw Blame History

EdgeGallery v1.5 安全测试报告

EdgeGallery v1.5 Security Test Report

1.引言 Introduction

1.1项目简介 Project Description

EdgeGallery社区聚焦5G边缘计算场景,通过开源协作构建起MEC边缘的资源、应用、安全、管理的基础框架和网络开放服务的事实标准,并实现同公有云的互联互通。在兼容边缘基础设施异构差异化的基础上,构建起统一的MEC应用生态系统。

更详细介绍请参考 EdgeGallery 简介

The EdgeGallery community focuses on the 5G edge computing scenario, through open source collaboration to build the basic framework of resources, applications, security, management of the MEC edge and the de facto standard for network open services, and to achieve interconnection with public clouds. Build a unified MEC application ecosystem based on the heterogeneous differentiation of compatible edge infrastructure.

For more detailed introduction, please refer to EdgeGallery Introduction.

1.2报告目的 Report Purpose

本安全测试报告为 EdgeGallery v1.5安全测试报告,目的在于总结安全测试过程中所涉及测试环境、测试用例、测试人员、测试过程、发现安全问题及解决情况等,描述预定需求的符合性及预定质量指标的符合性,并为EdgeGallery开源社区其他成员提供参考。本报告重点在于统计所发现的安全问题和解决情况。安全测试工作由安全工作组执行。安全工作组介绍及工作文档详见 SecurityWG工作目录

This security test report is the EdgeGallery v1.5 security test report. The purpose is to summarize the test environment, test cases, testers, test process, discovery and resolution of security issues, etc., involved in the security test process, and describe the compliance and Predetermine compliance with quality indicators, and provide references for other members of the EdgeGallery open source community. The focus of this report is on the security issues discovered and the solutions based on statistics. The security testing is executed by the security working group. For the introduction and working documents of SecurityWG, see SecurityWG documents.

2.安全测试概要 Security Test Overview

2.1 测试环境 Test Environment

No. Server IP Usage Passwd
1 192.168.x.x (敏感信息,不公开) Center + Edge

2.2 先决条件 Prerequisites

v1.5里程碑计划 Release Milestone

v1.5需求设计文档 Requirement Design Docs

v1.5需求列表 Epic List on gitee

v1.5特性列表 Story List on gitee

v1.5安全设计文档 Security Design Docs

EdgeGallery安全设计规范 Security Design Guide

2.3 测试用例 Test Cases

请点击 安全合规测试用例渗透测试用例 以查看测试用例具体内容。

Please click Security Compliance Test Cases and Penetration Test Cases to view the specific content of the test cases.

2.4 测试人员及分工 Testers and Division

本次测试人员: 扈冰(测试内容包括UserMgmt、Appstore、Developer、MECM、ATP、MEP、MEPM等模块)。

The testers: Hubing (UserMgmt, Appstore, Developer, MECM, ATP, MEP, ect).

2.5 测试日期 Test Date

整体起止日期:2021.11.22 - 2021.12.31

The overall start and end dates: 2021.11.22 - 2021.12.31

Date Compliance Test Penetration Test Regression Test
11.22 - 12.05 Sprint 1 compliance test Sprint 1 penetration test -
12.06 - 12.22 Sprint 2 compliance test Sprint 2 penetration test Sprint 1 regression test
12.23 - 12.30 Sprint 2 regression test
12.31 - 12.31 Ready to release

3.安全测试内容 Security Test Content

本次测试共包括sprint1,sprint2两个迭代。

首先针对各Story匹配测试用例,然后从安全合规测试渗透测试2个维度展开测试。

测试内容详见 v1.5 Security Test Plan **第5节“测试范围”**相关内容。

The test include two iterations of sprint1, sprint2.

First, match test cases for each Story, and then start testing from the two dimensions of security compliance testing and penetration testing.

For details of Security test content, please refer to v1.5 Security Test Plan Section 5 "Test Scope".

4.安全测试结果 Security Test Result

4.1 测试结果概述 Test Result Overview

v1.5新增安全类问题单共计17个。

本次安全测试过程中,所有发现的安全类问题已在gitee提单(安全类问题单标题均包含“【Security】”标签),请访问 v1.5安全类问题单 以查看详情。

4.2 测试结果分析 Test Result Analysis

4.2.1 历史版本安全问题数量对比:

可以看到,v1.5与前2个版本安全问题数量大致持平,没有大幅的增加或降低,属于正常水平。

4.2.2 按漏洞类型统计:

v1.5新增的17个安全问题中,包括越权/鉴权4个、信息泄露3个、输入校验3个、前端问题3个、容器安全问题2个、登录/认证1个、日志问题1个。

①容器问题中,v1.5修复了一个严重性极高的Docker Remote API未授权访问漏洞。该漏洞可能导致攻击者远程执行docker命令,进而获取服务器权限。现在该漏洞已完全修复。

②在漏洞类型中,权限问题占比相对较高。由于v1.5增加了三方系统、资源管理等功能,同时也引入了一些不恰当的权限配置。

③敏感信息泄露依然是占比较高的问题类型(在历史版本中,敏感信息泄露一直都是最常见的问题类型之一), 但是信息泄露类问题产生原因和覆盖面很广,在以后可能依然是安全问题的高发区域。

4.2.3 按严重性统计:1个严重,7个主要,9个次要,0个不重要。

注:“严重”和“主要”安全问题详见4.4节“严重/主要级别安全问题

4.2.4 按修复状态统计:17个已修复,0个遗留

注:遗留安全问题详见4.5节“遗留安全问题”

4.2.5 按所属模块统计: AppStore 2个, Developer 1个, MECM/MEPM 4个, ThirdSystem 6个, Installer 1个,EdgeGallery-fe 3个

由于三方系统是v1.5全新增加的模块,包括了全新的前台页面和后台接口,所以安全问题相对较多。

4.2.6 按迭代统计:Sprint1 4个, Sprint213个

4.3 安全测试记录/测试数据 Security Test Record

由于安全问题的敏感性,开源社区的工作文档难以做到保密,本版本不记录和上传详细的测试过程。按照测试计划执行测试,安全问题的详细验证过程请查看Gitee v1.5安全类问题单

Due to the sensitivity of security issues, it is difficult to keep the working documents of the open source community confidential, and since this version no detailed test procedures are recorded. Perform tests in accordance with the test plan. For the detailed verification process of security issues, please check v1.5 security issues.

4.4 严重/主要级别安全问题 Completed Security Issues

v1.5安全测试过程中共发现严重级别安全问题1个,主要级别安全问题7个,目前均已修复。详见下表:

No. Issue 标题 状态 级别
1 【Security】【installer】docker不应开启Remote API,这可能导致攻击者远程操作docker命令,进而获取宿主机权限 已修复 严重
2 【Security】【developer】先使用租户登录后,再使用admin登录,admin显示租户的应用列表 已修复 主要
3 【Security】【ThirdSystem】缺少必要的日志记录:POST新增/PUT修改/DELETE删除系统成功,但后台未看到日志记录 已修复 主要
4 【Security】【ThirdSystem】如果不是十分必要,接口不应返回任何的密码信息 已修复 主要
5 【Security】【ThirdSystem】三方系统管理需要设置分权 已修复 主要
6 【Security】【mecm】普通租户若没有操作资源管理的权限,建议对普通租户隐藏资源管理菜单 已修复 主要
7 【Security】【ThirdSystem】系统详情->添加,密码框类型不允许使用type="text",必须使用password 已修复 主要
8 【Security】【mepm】修改密码时只填新密码,未填旧密码及确认密码,但是却修改成功 已修复 主要

4.5 遗留安全问题 Leaving Security Issues

4.5.1 历史版本遗留安全问题处理情况:

无历史版本遗留安全问题。

No. Issue ID Issue 标题 自何版本遗留 修复结论
NA NA
4.5.2 v1.5新增遗留安全问题:

v1.5无新增遗留安全问题。

No. Issue ID Issue 标题 状态 自何版本遗留 备注
NA NA

5.关于Apache Log4j2组件远程代码执行漏洞的特别声明

在v1.5安全测试过程中,Apache Log4j2爆出了严重性极高(CVSS评分10.0)的远程代码执行漏洞,Log4j2官方连续推出了多个补丁/升级版本来修补该漏洞。EdgeGallery社区已在第一时间对使用Log4j2组件的模块进行排查,并迅速通过升级版本来修补该漏洞。截止本次安全测试结束(2021年12月31日),EdgeGallery v1.5已将Log4j2组件版本升级至相对安全的2.17.0版本。

During the v1.5 security test, Apache Log4j2 broke a remote code execution vulnerability with extremely high severity (CVSS score 10.0). Log4j2 officially launched multiple patches/upgrades to fix the vulnerability. The EdgeGallery community has checked the modules that use Log4j2 components for the first time, and quickly patched the vulnerability through an upgrade version. As of the end of this security test (December 31, 2021), EdgeGallery v1.5 has upgraded the Log4j2 component version to the relatively safe 2.17.0 version.

6.安全测试结论 Security Test Conclusion

在EdgeGallery v1.5安全测试中,整个测试过程按计划执行,版本特性全部覆盖,对于新增安全问题和历史版本遗留安全问题均已修复完毕,并且没有遗留的安全问题,整体安全性要求满足预期要求。

In the EdgeGallery v1.5 security test, 100% of the test cases were executed, the version stories were all covered, unfixed issues have been left behind , the overall security requirements met the expected requirements.

1
https://gitee.com/edgegallery/community.git
git@gitee.com:edgegallery/community.git
edgegallery
community
community
master

Search