跳转至

K-9 Mail 与 OSTIF、7ASecurity 合作开展安全审计

cover

我们将 K-9 Mail 转变为 Thunderbird for Android 的过程不仅仅是改进用户界面和添加新功能。K-9 Mail 已经是 Android 开源生态系统的重要组成部分,而且由于它为 Thunderbird for Android 的未来奠定了基础,我们认为对该软件的安全健康进行投资非常重要。

为此,我们最近与开源技术改进基金(OSTIF)和 7ASecurity 合作,对 K-9 Mail 进行了广泛的安全审计。

由 7ASecurity 六名审计员组成的团队努力工作,以识别并解决 K-9 Mail 中发现的任何潜在安全或稳定性问题。审计工作特别关注威胁模型分析模糊测试(一种模拟现实世界中软件可能遇到意外或恶意输入的场景的技术)以及我们的软件供应链。

我们很高兴地向大家报告,此次审计未发现任何高风险漏洞。安全审计确实发现了一些中低风险漏洞,其中大部分 K-9 Mail 团队已经解决或正在解决。

此外,我们很高兴与大家分享 OSTIF 得出的这一充满希望的结论:

“Mozilla 有一个令人难以置信的基础来开始这个新篇章,因为报告指出了 7ASecurity 团队在参与过程中证明的 K-9 Mail 安全、健康实践和条件的七个广泛要点。”

Amir Montazery, OSTIF

整个过程既有教育意义又富有成效,我们衷心感谢与如此专业、知识渊博的团队合作。我们要向 OSTIF 的每一位员工致以最诚挚的谢意,包括 Amir Montazery、Ashley Leszkiewicz 和 Derek Zimmer。

我们衷心感谢 7ASecurity 的 Abraham Aranguren、Dariusz Jastrzębski、Daniel Ortiz、Miroslav Štampar 博士、Óscar Martínez 和 Patrick Ventuzelo 的辛勤工作和对细节的关注。

“OSTIF 非常了解开源项目的运作方式,我们非常感谢他们能够参与进来,帮助我们协调 K-9 Mail 软件的安全审计工作。OSTIF 和 7ASecurity 是了不起的合作伙伴,他们提供了有益的指导,使审计过程变得轻而易举。我们非常感谢他们的专业精神和专业知识。我可以自信地说,我们计划再次与他们合作。”

Ryan Sipes,Thunderbird 产品和业务开发经理。

资源