理清头脑混沌,觉醒心智天地
Rustls 是一个用Rust编写的现代TLS库,它使用ring forcryptography和libwebpki进行证书验证。
该项目由CNCF发起和赞助,由Cure53团队的四名专业成员花费30天来完成审计(2020年5月下旬和2020年6月上旬)。因为CNCF有一些项目依赖于rustls,比如 linkerd。本次审计也包括了rustls的依赖库:rustls-native-certs,sct.rs,ring和webpki。(注:Cure53是德国知名网络安全公司)
Cure53 团队创建了一个专用的Slack Channel来沟通交流。审计范围内每个项目的维护代表均被邀请参与讨论,并提供反馈,范围澄清,问题答案等等。
审计结果:只有四个小发现,均不是漏洞(vulnerabilities),只是一些缺陷(weaknesses)。
审计过程
Cure53团队审计过程学习:
缺陷
审计团队发现的一些缺陷概述:
小结
审计总结:
相关链接:
rustls 源码仓库:
https://github.com/ctz/rustls
rustls官方博文:
http://jbp.io/2020/06/14/rustls-audit.html
审计报告论文:
https://github.com/ctz/rustls/blob/master/audit/TLS-01-report.pdf