NATS.io的安全近况 - HelloWorld开发者社区

作者：Colin Sullivan

很多时候，像这样标题的博客或文章都包含坏消息。这不是这里的情况！我们在分享我们的安全审查结果，以及如何在即将到来的NATS服务器2.0版本中支持我们的新安全功能，预计将于2019年第二季度发布。

NATS.io的安全近况

安全审计

去年11月，CNCF赞助Cure53对NATS服务器和一些受欢迎的NATS客户端进行安全审计。我们为Cure53设置了一个安全的服务器来攻击，他们分析了我们的源代码。

“Cure53选择了双管齐下的方法测试NATS。为了最大限度地扩大覆盖范围，测试者执行了源代码审计，以及针对NATS提供的云实例作经典渗透测试。”

重点放到NATS服务器和我们的Go客户端，因为它是大多数其他维护者支持的客户端的参考。C客户端和Node.js客户端也进行了测试。

总的来说，我们觉得NATS表现出色。服务器有一个低级别漏洞，已立即修复。

简单得到回报。报告指出，与其他评估的项目相比，大多数NATS客户端都很小，因此呈现出小的攻击面。我们的Go客户端没有发现任何漏洞。在C客户端中有一个严重的溢出问题，已立即修复，所有其他问题都已由NATS团队修复或处理。

私钥？我们不需要它们。

我们还要求Cure53分析NKEYS（NATS编码的Ed25519密钥）和我们的JWT技术，这技术将在NATS服务器2.0版本中支持我们的新安全功能。没有发现任何漏洞。

在2.0版本中，NKEYS和NATS JWT用于基于nonce的客户端连接协议，其中服务器持有公共NKEY，客户端使用其私有NKEY签署nonce。这允许NATS成为零信任系统，其中服务器永远不会读取或访问用于连接的私钥。与帐户和帐户之间的安全数据共享相结合时，部署中的安全性可以分散。

请继续关注NATS服务器2.0版本的更多信息！

KubeCon + CloudNativeCon + Open Source Summit大会日期：