efir369999/montana
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
cba0bf477f
montana/Node/External-Audit/SBOM.md
Afgroup 7766538b9b sync 2026-05-21T00:44:38Z
2026-05-21 03:44:38 +03:00

3.2 KiB
Raw Blame History

Bill of Materials

Версия: 2026-05-18

VPN-узлы (FI/FRA/US, Ubuntu 22.04/24.04)

Компонент Версия Источник Лицензия Назначение
Xray-core 26.2.6 https://github.com/XTLS/Xray-core MPL-2.0 VPN inbound (vless+reality+xtls-rprx-vision)
Xray-install v25.10.21 (pinned) https://github.com/XTLS/Xray-install MIT Установщик systemd-юнита
fail2ban apt default https://github.com/fail2ban/fail2ban GPL-2.0 SSH brute-force защита
ufw apt default system GPL-3.0 Firewall
OpenSSH apt default system BSD Доступ admin
systemd apt default system LGPL Process supervision
montana-node (см. genesis-manifest.json) hub.montana.quest/Node/bin/ Apache-2.0 / MIT TimeChain p2p (M8)

Дополнительно на FRA

Компонент Версия Назначение
CrowdSec apt Distributed IPS, whitelist кластерных IP

Orchestrator (Moscow, Ubuntu 22.04)

Компонент Версия Источник Лицензия
Python 3.10+ system PSF
Flask system (apt: python3-flask) https://flask.palletsprojects.com BSD-3
nginx apt default http://nginx.org BSD-2
gunicorn (для /vpn/sub :5008) apt https://gunicorn.org MIT

Управляющий слой

Компонент Версия Источник Назначение
Cloudflare API v4 live https://api.cloudflare.com/client/v4/ DNS multi-A
macOS Keychain system Apple Хранилище токенов admin

Клиент

Платформа Приложение Источник Версия
iOS Happ App Store актуальная
Android v2rayNG (rebrand «Монтана») hub.montana.quest/Android/ 4.0.0
macOS v2rayU / Hiddify open source актуальная

Зависимости с прямым воздействием на безопасность

  • Xray-core 26.2.6 — основная implementation Reality. Обновлять при обнаружении CVE.
  • OpenSSL (system, через TLS-handshake probe) — проверка cert chain в watchdog.
  • fail2ban + ufw + crowdsec — defence-in-depth для SSH/HTTP вектора.
  • Cloudflare — single trust anchor для DNS управления.

Pinned vs floating

Что pinned Что floating
Xray-install installer URL (v25.10.21) Xray-core (берётся latest installer'ом — TODO: pin)
Universal Reality keypair (фиксирован до ротации) Все system packages (apt)
Cloudflare API token montana-node бинарь (берётся с хаба, без checksum — TODO: SHA256 в manifest)

Open TODO для SBOM-уровня (P2)

  • Pin конкретной версии xray-core в install (через --version флаг)
  • SHA256 для бинаря montana-node в genesis-manifest.json + verify в join.sh
  • Подпись manifest'а (cosign / minisign) с публичным ключом в публичных артефактах