价格
登录获取NymVPN
登录
公告网络

2023–2024 年国家气象局网络和应用程序的安全审计

Ania.jpg
Ania M. Piotrowska, PhD
1 分钟读完
分享

与Nym的开放源代码一样,这些审核结果以及Nym团队的回应都会公开,并解释为解决相关问题而采取的措施。

什么是安全审计?

当公司试图测试技术、系统或网络的安全参数和漏洞时,就会进行安全审计。 与 Nym 的情况一样,这些措施可以是前瞻性的,以确保测试版产品在推出前经过严格测试。

安全审计可以由公司内部的安全人员或开发团队完成,但最好由独立的审计公司完成,因为他们与公司或技术没有利害关系。 这样可以确保测试的公正性和科学性。

此外,根据公司代码是完全或部分专有(即不可公开访问)还是开放源代码,可以进行不同规模的安全审计。

在这两种情况下,2023–2024 年对 Nym 网络和应用程序进行的安全审计都是由独立的安全公司完成的,他们可以完全访问 Nym 的开源软件。 所有报告和回复同样可供公众和社区查阅。

CURN53 审计(2024 年 7 月)

2024 年 7 月,总部位于柏林的 Cure53 公司进行了最新、最广泛的审计。 Cure53 在 Web3 领域享有盛誉,曾为 ExpressVPN、Mullvad、TunnelBear 和 NordVPN 等其他 VPN 公司做过审计。

审计范围

Cure53 采用了水晶盒策略,可以完全访问源代码、构建、文档、测试环境和支持性科学论文。 他们的广泛审计涵盖了 Nym 的基础设施,包括移动和桌面应用程序、VPN 基础设施、密码学和系统架构。 审计是通过渗透测试、源代码审计和代码审查完成的。

审计结果

发现 Nym 系统的许多核心方面都处于良好和安全的状态,特别是其移动和桌面应用程序以及 Rust 构建。

“Cure53[……]证实,Android 和 iOS 应用程序都不包含硬编码的敏感信息或机密,这是一个关键的安全考虑因素。”

Cure53 审计能够在整个 Nym 系统中发现许多重要的潜在安全风险,特别是其加密实施中的潜在风险,例如,客户端与网关之间加密握手过程中的潜在明文泄漏。 Nym 团队很快就解决了这些重大风险。

Cure53 将其他一些潜在风险确定为 “高度”或 “关键” 风险,但正如 Nym 的答复所澄清的那样,这些风险涉及 Nym 基础设施的一些方面,例如,这些基础设施已不再运行,或者涉及可能的攻击,但鉴于目前的设计,例如 Nym 电子现金的实施,这些攻击将不会成功。

您可以阅读Nym对Cure53审计的回应,以及Nym研究与技术主管对所有修改或未修改的解释。 您还可以在这里找到 Cure53 原始报告的链接。

OAK审计(2023 年)

目前,Nym 研究人员还公布了对德国一家专门从事智能合约的安全公司 Oak Security 进行的两次 2023 年安全审计的回应。 Oak 在 Cosmos、Terra、Polkadot 和 Flow 等生态系统方面拥有丰富的经验。

审计范围

第一次审计的重点是 Nym mixnet 和归属合同,第二次审计的重点是 Nym Wallet 应用程序。 由于可以完全访问 Nym 的开放源代码库,Oak 审计涵盖了合同/mixnet、合同/归属库、这些合同对 Nym mixnet 和归属合同的相关导入,以及 Nym Wallet 应用程序。

审计结果

OAK混合网络和归属合同审计

关于混合网和归属合同审计,Nym 研究主管 Ania Piotrowska 总结了审计结果和采取的行动:

“Nym 混合网络和归属合同的特点是可读性高、清晰度高,测试范围广,证明其可靠。 审计员在评估中发现了 19 项问题,其中包括 9 个安全漏洞(包括关键和重大问题)和 10 个一般弱点,这些弱点被归类为次要或说明性问题。 Nym 团队迅速解决了所有关键和重大问题。 橡树安全团队验证并批准了我们的修复方案。

OAK NYM 钱包审计

关于对 Nym Wallet 的审计,Ania 总结了审计结果:“我们发现 Nym Wallet 的代码库结构合理,可读性中等偏上。 审计人员建议改进测试范围和文档,以提高可靠性和可维护性。 NYM钱包共报告了 17 项审计结果。 其中没有一项被列为重大发现;四项被评为主要发现,其余 13 项被列为次要发现或信息性发现,为进一步完善钱包的实施提供了机会。 NYM团队迅速处理了所有主要发现,橡树安全公司审查并批准了修复措施。”

总结

网络和应用程序安全是Nym最关注的问题。 如果没有网络和应用程序安全,使用 Nym 的用户将无法获得他们所需要和承诺的东西:目前最先进的隐私保护和安全性。 因此,在 Cure53 和 Oak Security 的咨询工作的帮助下,Nym 团队将在 2025 年取得重大安全改进。

Nym将继续定期对其开源代码库、开发应用程序和网络进行独立审计,并实施漏洞赏金计划,以确保使用NymVPN和网络的用户达到最高的安全标准。

加入Nym社区

Telegram中文社区

Twitter // Discord // Telegram // Element

关于作者

Ania.jpg

Ania M. Piotrowska, PhD

Ania是尼姆的首席科学官。 Ania牵头Nym的安全、分布式系统和匿名通信研究组,包括洋葱路由和混合网络。

目录

New low prices

The world's most private VPN

免费试用 NymVPN

New low prices

The world's most private VPN

免费试用 NymVPN

继续阅读...

NymVPN App Blog Image
NymVPN

Nym: 不仅仅是 VPN

人工智能(AI)的出现意味着监控能力变得越来越复杂 — — 不仅是大公司和政府的监控能力,还有更小的恶意行为者的监控能力。

1 分钟读完
Pablo: Convert to webp.svg
NymVPN

Nym 的零知识网络: 无日志政策

这是因为网络的设计是去中心化的,因此没有任何一个点可以获取将您个人与您的流量或其目的地连接起来的信息,而 Nym Technologies 公司也无法获取任何信息。 简而言之,不存在单点故障。 通过一个全程匿名的网络进行在线通信,甚至连支付与网络使用之间的联系都是匿名的!

1 分钟读完