Penetrační testování a skenování zranitelností
Metodologie bezpečnostního hodnocení MazeVault, správa zranitelností a aktuální stav
Verze dokumentu: 1.1.0
Poslední aktualizace: 2026-04-03
1. Program bezpečnostního hodnocení
MazeVault udržuje komplexní program bezpečnostního hodnocení kombinující automatizované skenování, manuální testování a průběžné monitorování pro proaktivní identifikaci a nápravu zranitelností.
| Typ hodnocení |
Frekvence |
Rozsah |
| Skenování zranitelností závislostí |
Průběžně (při každém buildu) |
Go moduly (govulncheck), npm balíčky (npm audit) |
| Skenování obrazů kontejnerů |
Při každém buildu |
Docker obrazy (Trivy v0.28.0, připnutý) |
| Statické testování bezpečnosti aplikací (SAST) |
Při každé změně kódu |
Zdrojový kód aplikace |
| Dynamické testování bezpečnosti aplikací (DAST) |
Měsíčně |
Běžící koncové body aplikace (OWASP ZAP) |
| Manuální penetrační testování |
Ročně |
Celá platforma |
2. Rozsah testování
V rozsahu
| Komponenta |
Kategorie testů |
| API Server |
Obejití autentizace, eskalace oprávnění, injekce, business logika |
| Webové rozhraní |
XSS, CSRF, clickjacking, správa relací, zabezpečení na straně klienta |
| OCSP Responder |
Soulad s protokolem, odepření služby, manipulace s odpověďmi |
| Databázová vrstva |
SQL injection, řízení přístupu, validace šifrování |
| Síťová vrstva |
Konfigurace TLS, validace certifikátů, zabezpečení protokolů |
| Komunikace agentů |
Validace mTLS, bootstrap flow, výměna klíčů |
| Závislosti |
Známé CVE v Go modulech, npm balíčcích, základních Docker obrazech |
Mimo rozsah
- Fyzické zabezpečení zákaznické infrastruktury
- Infrastruktura cloudových poskytovatelů třetích stran (Azure, AWS)
- Konfigurace zákaznické sítě
- Sociální inženýrství
3. Klasifikace zranitelností
MazeVault používá CVSS v3.1 pro hodnocení zranitelností:
| Závažnost |
CVSS skóre |
SLA pro nápravu |
Popis |
| Kritická |
9.0–10.0 |
48 hodin |
Vzdálené spuštění kódu, obejití autentizace, únik dat |
| Vysoká |
7.0–8.9 |
7 dní |
Eskalace oprávnění, významné odhalení dat |
| Střední |
4.0–6.9 |
30 dní |
Omezené odhalení informací, odepření služby |
| Nízká |
0.1–3.9 |
90 dní |
Drobný únik informací, vylepšení hloubkové obrany |
| Informační |
0.0 |
Dle možností |
Doporučení pro posílení zabezpečení |
4. Aktuální stav zranitelností
Komplexní sken závislostí Q1 2026 (duben 2026)
Nástroje: govulncheck (analýza grafu volání Go), npm audit (Node.js), go mod verify (integrita)
Rozsah: 7 Go modulů (~340 tranzitivních závislostí), 2 npm balíčky (~800 tranzitivních závislostí), 5 Docker obrazů
| Závažnost |
Nalezeno |
Napraveno |
Zbývá |
| Kritická |
2 |
2 |
0 |
| Vysoká |
6 |
6 |
0 |
| Střední |
10 |
10 |
0 |
| Nízká |
6 |
0 |
6 |
| Celkem |
24 |
18 |
6 |
Napravené kritické zranitelnosti
| ID |
Komponenta |
Popis |
Řešení |
| GO-2026-4753 |
Backend (SAML SSO) |
Obejití XML podpisu umožňující padělání autentizace |
Aktualizace goxmldsig v1.3.0 → v1.6.0 |
| GO-2024-2687 |
K8s Operátor |
HTTP/2 CONTINUATION flood denial-of-service |
Aktualizace golang.org/x/net v0.19.0 → v0.52.0 |
Napravené zranitelnosti vysoké závažnosti
| ID |
Komponenta |
Popis |
Řešení |
| GO-2026-4762 |
Backend, Terraform Provider |
Obejití autorizace gRPC |
Aktualizace google.golang.org/grpc → v1.80.0 |
| GO-2025-3485 |
Backend |
JOSE parsing denial-of-service |
Aktualizace go-jose/v3 v3.0.0 → v3.0.4 |
| GO-2024-2631 |
Backend |
JOSE dekompresní bomba |
Aktualizace go-jose/v3 v3.0.0 → v3.0.4 |
| GO-2023-2334 |
Backend |
PBES2 JWE denial-of-service |
Aktualizace go-jose/v3 v3.0.0 → v3.0.4 |
| GO-2025-3595 |
K8s Operátor |
XSS přes nesprávnou neutralizaci v x/net |
Aktualizace golang.org/x/net → v0.52.0 |
| GHSA-848j |
Node SDK |
Handlebars.js JavaScript injection (8 advisories) |
Aktualizace přes npm audit fix |
Stav komponent
| Komponenta |
Go moduly |
npm balíčky |
Stav |
| Backend API |
✅ 0 zranitelností |
— |
Čistý |
| Agent |
✅ 0 zranitelností |
— |
Čistý |
| OCSP Responder |
✅ 0 zranitelností |
— |
Čistý |
| CLI |
✅ 0 zranitelností |
— |
Čistý |
| K8s Operátor |
✅ 0 zranitelností |
— |
Čistý |
| Terraform Provider |
✅ 0 zranitelností |
— |
Čistý |
| Go SDK |
✅ 0 zranitelností |
— |
Čistý |
| Frontend |
— |
6 nízkých |
6 nízké závažnosti — pouze build-time dev závislosti |
| Node SDK |
— |
✅ 0 zranitelností |
Čistý |
Zbývající položky nízké závažnosti
6 zbývajících zranitelností nízké závažnosti je v tranzitivním řetězci závislostí elliptic ve frontendu (vite-plugin-node-polyfills → node-stdlib-browser → crypto-browserify → elliptic). Jedná se o vývojové závislosti pouze pro build a nejsou součástí produkčního frontend balíčku. Runtime aplikace používá @noble/ciphers a @noble/hashes pro kryptografické operace.
Penetrační test Q4 2025
Typ hodnocení: Kompletní manuální penetrační test + automatizované skenování
| Závažnost |
Nálezy |
Napraveno |
Otevřené |
| Kritická |
0 |
0 |
0 |
| Vysoká |
0 |
0 |
0 |
| Střední |
2 |
2 |
0 |
| Nízká |
4 |
3 |
1 |
| Informační |
6 |
4 |
2 |
| Celkem |
12 |
9 |
3 |
Klíčové nálezy a nápravy
| # |
Závažnost |
Kategorie |
Stav |
| 1 |
Střední |
Optimalizace řazení TLS cipher suite |
✅ Napraveno |
| 2 |
Střední |
Vylepšení rate limitingu pro autentizační koncové body |
✅ Napraveno |
| 3 |
Nízká |
Další bezpečnostní hlavičky (Permissions-Policy) |
✅ Napraveno |
| 4 |
Nízká |
Posílení atributu Cookie SameSite |
✅ Napraveno |
| 5 |
Nízká |
Podrobné chybové zprávy v neprodukčních režimech |
✅ Napraveno |
| 6 |
Nízká |
Doporučení pro HSTS preload |
⏳ Plánováno |
| 7 |
Info |
Doporučení direktivy CSP report-uri |
⏳ Plánováno |
| 8 |
Info |
Další logování certificate transparency |
⏳ Plánováno |
Oblasti testované bez nálezů
- ✅ SQL Injection — Parametrizované dotazy v celé aplikaci
- ✅ Cross-Site Scripting (XSS) — CSP + kódování výstupu
- ✅ Obejití autentizace — SRP protokol správně implementován
- ✅ Eskalace oprávnění — RBAC vynucováno na úrovni služby
- ✅ Kryptografické slabiny — AES-256-GCM správně implementováno
- ✅ Validace certifikátů — Správné ověření řetězce
- ✅ Odhalení citlivých dat — Ověřeno šifrování v klidu
5. Průběžné bezpečnostní monitorování
Nástroje pro automatizované skenování
| Nástroj |
Účel |
Frekvence |
| Trivy (v0.28.0, připnutý) |
Skenování CVE v obrazech kontejnerů a souborovém systému |
Při každém buildu, všechny CI události |
| govulncheck |
Kontrola zranitelností Go závislostí s analýzou grafu volání |
Při každém buildu |
| npm audit |
Kontrola zranitelností frontendových a SDK závislostí |
Při každém buildu |
| OWASP ZAP |
Dynamické skenování aplikace |
Měsíčně |
Bezpečnostní metriky
| Metrika |
Cíl |
Aktuální stav |
| Průměrná doba nápravy (kritická) |
< 48 hodin |
< 24 hodin |
| Průměrná doba nápravy (vysoká) |
< 7 dní |
< 24 hodin |
| Zranitelnosti závislostí (kritické/vysoké) |
0 |
0 |
| Zranitelnosti obrazů kontejnerů (kritické) |
0 |
0 |
| Go moduly plně čisté |
7/7 |
7/7 ✅ |
Bezpečnostní CI/CD pipeline
Bezpečnostní skenování je integrováno do CI/CD pipeline a běží při každé události (push, pull request, manuální spuštění):
- Skenování zdrojového kódu — Trivy filesystem scan pro známé CVE
- Analýza Go zranitelností —
govulncheck s analýzou grafu volání (méně falešných pozitiv než pattern matching)
- Audit npm závislostí —
npm audit pro frontend a SDK balíčky
- Skenování obrazů kontejnerů — Trivy image scan po Docker buildu
- SARIF upload — Výsledky nahrány do GitHub Security záložky pro sledování
Související