Vaultwarden Wiki 中文版
⮐ Vaultwarden Wiki个人主页联系我
  • 关于
  • 首页
  • FAQ
    • 1.FAQ
    • 2.审计
    • 3.支持上游的发展
    • 故障排除
      • 1.日志记录
      • 2.Bitwarden Android 故障排除
  • 容器镜像的使用
    • 1.容器镜像的选择
    • 2.启动容器
    • 3.使用 Docker Compose
    • 4.使用 Podman
    • 5.更新 Vaultwarden 镜像
  • 代理
    • 1.代理示例
    • 2.使用备用基本目录(子目录/子路径)
    • HTTPS
      • 1.启用 HTTPS
      • 2.使用 Let's Encrypt 证书运行私有 Vaultwarden 实例
  • 配置
    • 1.配置概述
    • 2.启用管理页面
    • 3.SMTP 配置
    • 4.禁用新用户注册
    • 5.禁用邀请
    • 6.启用 WebSocket 通知
    • 7.启用移动客户端推送通知
    • 8.其他配置
    • 数据库
      • 1.使用 MariaDB (MySQL) 后端
      • 2.使用 PostgreSQL 后端
      • 3.在未启用 WAL 的情况下运行
      • 4.从 MariaDB (MySQL) 迁移到 SQLite
    • 安全
      • 1.强化指南
      • 2.显示密码提示
      • 3.启用 U2F 和 FIDO2 WebAuthn 身份验证
      • 4.启用 YubiKey OTP 身份验证
      • 5.Fail2ban 设置
      • 6.Docker Traefik ModSecurity 设置
    • 性能
      • 1.更改 API 请求大小限制
      • 2.更改 worker 数量
  • 自定义
    • 1.翻译电子邮件模板
    • 2.翻译管理页面
    • 3.自定义 Vaultwarden CSS
    • 4.禁用或覆盖密码库接口托管
  • 备份
    • 1.通用(非 docker)
    • 2.备份您的密码库
  • 部署
    • 1.构建二进制
    • 2.构建您自己的 Docker 镜像
    • 3.Git hooks
    • 4.与上游 API 实现的区别
  • 替代部署
    • 1.预构建二进制
    • 2.设置为 systemd 服务
    • 3.第三方包
    • 4.部署示例
    • 5.禁用管理令牌
  • 其他
    • 1.从 Keepass 或 KeepassX 导入数据
    • 2.更改持久性数据位置
    • 3.从 LDAP 同步用户
    • 4.使用 Cloudflare DNS 的 Caddy 2.x
    • 5.转储示例
    • *使用非 root 用户运行 docker 容器
    • *使私有 CA 和自签名证书兼容 Chrome
    • *测试 SSO
    • *使用 systemd docker 运行
由 GitBook 提供支持
在本页
  • Vaultwarden 审计
  • 由 BSI 进行的审计
  • ERNW Enno Rey Netzwerke GmbH 进行的渗透测试
  1. FAQ

2.审计

对应的官方页面地址

Vaultwarden 审计

Vaultwarden 已经过安全公司的审计,这有助于确保 Vaultwarden 的安全。

有些审计是在没有公开发布任何数据的情况下完成的,因为要求这些安全公司进行审计的公司不允许这样做,但这些研究人员确实提供了审计结果。

有些审计是公开发布的,任何人都可以访问。

由 BSI 进行的审计

网站和报告均为德语

德国安全机构 BSI (Bundesamt für Sicherheit in der Informationstechnik) 在 CAOS (Codeanalyse von Open Source Software) 项目下对 Vaultwarden v1.30.3 进行了审计。

新闻稿(包含 Vaultwarden 结果的 PDF)可在此处找到:https: //www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Codeanalysis-KeePass-Vaultwarden_241014 .html

他们甚至还有一个更详细的 ZIP 文件,其中包含所有原始信息: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Downloadserver/P486/CAOS_Vaultwarden.html

作为参考,您可以在这里下载报告:

  • 原文 - 德语 - Vaultwarden-Passwordmanager.pdf

  • 翻译 - 英语 - Vaultwarden-Passwortmanager.en.pdf

ERNW Enno Rey Netzwerke GmbH 进行的渗透测试

ERNW Enno Rey Netzwerke GmbH 在 2024 年 10 月为客户进行的渗透测试中对 Vaultwarden 进行了评估。2024 年 6 月,德国联邦信息安全办公室 (BSI) 公布了 Vaultwarden 服务器组件的静态和动态测试结果。因此,在评估过程中仅进行了部分源代码审计,同时还重点关注了其他软件和基础设施。ERNW 发现了 3 个漏洞,包括身份验证绕过,并负责任地向 Vaultwarden 披露了这些漏洞。ERNW 的博客 Insinuator 对漏洞进行了描述:

  • https://insinuator.net/2024/11/vulnerability-disclosure-authentication-bypass-in-vaultwarden-versions-1-32-5/

上一页1.FAQ下一页3.支持上游的发展

最后更新于6个月前