...
| View file | ||
|---|---|---|
|
Otros aspectos por evaluar
...
Necesidad de almacenamiento del token digital
...
Almacenamiento de token de activación
...
Vulnerabilidades encotradas
Vulnerabilidad por CSRF(Cross-site request forgery)
Identificada al implementar la configuracion y uso de Apykey como medio de autenticacion entre servicios en el servicio Aggregation Service:
...
esta vulenerabilidad fue revisada con el equipo de desarrollo de Spin ya que al implementar el ApiKey en todos sus servicios presentan el mismo problema. Se llego a la conclusion que se podia mantener como un falso positivo ya que los servicios estan en una subnet privada y son accedidos por medio de un balanceador privado, por lo que solo pueden ser consumidos por los servicios de Spin.
Vulnerabilidades por licencias
Estas vulnerabilidades son identificadas en los diferentes jar de librerias de terceros como las de Spring, Tomcat, Lockbag, etc:
...
estas son librerias ampliamente usadas y entenderia que son falsos positivos, pero se quedo que en cuanto se actualizara la base de datos de Snyk y si siguen saliendo deberia evaluarse la exclusion.