Безопасен ли OpenAPI в FastApi?

Question

[0ralo]

Вопрос прост, насколько безопасно пользоваться OpenAPI в FastAPI. Я работаю над продуктом, который проходит сертификацию ФСТЕК`ом или ФСБ, хз даже что от них ждать можно. Есть ли практики использования OpenAPI в гос. учреждениях? Есть ли информация какие именно данные попадают на сервер OpenAPI(при генерации доков)? Каков шанс что они видят все функции, структуру проекта, данные для авторизации и переменные среды?

P.S. После неоторых раздумий и проверок, появилась вероятность что запросы к чужому серверу делаются ради получения странички и стилей, но я не верен. Все еще жду ответа по безопасности и отправляемым данным.

Comments

[Drno]

Сертификация ФСБ обычно проходится за счет связей \ денег... что там внутри они смотрят уже после этого...

[0ralo]

Drno, У нас в компании, я не первый кто сертифицирует продукт. Думаю если другие смогли то и я смогу.

Answer 1

[Everything_is_bad]

Нет никаких "серверов OpenAPI", это обычный CDN, ну и ничего не мешает держать эти файлы у себя. https://fastapi.tiangolo.com/how-to/custom-docs-ui...

После неоторых раздумий и проверок, появилась вероятность что запросы к чужому серверу делаются ради получения странички и стилей, но я не верен. Все еще жду ответа по безопасности и отправляемым данным.

ну если ты с таким простым не справился, как ты хочешь доказывать что-то про "по безопасности и отправляемым данным"? Будешь отвечать, что тебе на этом сайте сказали, что документация безопасна или как?

Comments

[0ralo]

Я могу попробовать запустить офлайн доки, по гайду выше. Если получится - данные никуда не отправляются. По идее этого хватит для доказательства

Answer 2

[Сергей Соловьев]

OpenAPI надо использовать только во время разработки, для удобства.
В проде надо отключать

Comments

[Everything_is_bad]

а если это является публичной документаций к сервису?)

[Сергей Соловьев]

Everything_is_bad, зависит от того на сколько публичная - тебя никто не заставляет на весь мир его показывать

[0ralo]

Дело не в том, когда используется документация, а в каком месте и где она генерируется. На документацию я могу поставить защиту

[Сергей Соловьев]

0ralo, что значит "защита на документацию" ?

[0ralo]

Ну какие то требования жля получения ответа от /docs . Заголовки или данные в запросе - неважно

[Сергей Соловьев]

0ralo, это называется авторизация

[Алексей Ярков]

Сергей Соловьев, вы сейчас человеку охоту писать отобьёте неудобными вопросами ))