KeePass审核:未发现严重的安全漏洞
- 类别: 安全
我们在2016年6月报告说,流行的密码管理器KeePass 正在接受安全审核 由欧盟委员会的欧盟自由和开源软件审核项目(EU-FOSSA)提供。
欧盟食品安全监督局 这是一个试点项目,旨在创建一个正式过程,以向开源社区提供软件安全性审查。
该项目创建了委员会使用的开源解决方案清单,发布了有关14个开源社区安全实践的研究报告,并审查了两种流行的开源解决方案。
KeePass是为Windows创建的密码管理器(也适用于Linux),它使用本地存储的加密数据库。
该程序附带了令人印象深刻的选项列表。您可以启用 全局登录快捷方式 例如,或 通过修改来提高KeePass的安全性 设置。
密码管理器由于其开源特性而支持插件和派生。插件使用户可以扩展程序的功能,例如,通过将其集成到Web浏览器中或使用在线存储提供程序同步数据库。
KeePass审核
研究小组审核了KeePass 1.31的代码,而非KeePass 2.34的代码。尽管在报告的任何地方都没有提到KeePass 2.34,但在代码审核中,KeePass 2.34的表现也很合理。
KeePass 1.x是密码管理器的旧版本。该版本不需要Microsoft .NET,但缺少仅KeePass 2.x附带的功能。例如,它不支持将KeePass链接到Windows用户帐户或一次性密码。您会找到完整版的比较 在这里表 。
KeePass审核遍历了所有84622行代码,并且在代码中没有发现任何关键或高风险的问题。但是,它确实发现了五个中等评级,三个低评级和六个仅信息评级的问题。
没有发现严重或高风险的发现。在其余发现中,检测到五项中度和三项低风险结果。其余六个具有信息性。
研究人员发现的问题在审核报告中有详细说明,您可以从 项目交付页面 在EU-Fossa网站上。您还在那里找到了列出的Apache安全审核(在WP6下:页面底部附近的示例代码查看)。
结束语
KeePass是Windows的出色,安全的密码管理器。代码审核的结果表明,它是一个设计合理的程序,没有严重或高风险的问题。
现在轮到你 :您使用哪个密码管理器,为什么?