oven-sh/bun

Escaneado em 20 de jun. de 2026

Risk score/ 100

Risco alto

Resumo

The Bun repository contains critical use of quantum-vulnerable cryptographic primitives including ECDH/ECDSA for TLS and SHA-1 for WebSocket handshakes. While some findings represent cipher exclusions (security best practices), the WebSocket handshake implementation relies on SHA-1 for protocol compliance, and TLS configuration uses ECDHE/ECDSA ciphersuites vulnerable to quantum attacks.

Crítico

Alto

Médio

Baixo

Principais findings

CríticoSHA-1
packages/bun-uws/src/WebSocketHandshake.h:130
SHA-256 or SHA3-256
Evidência
```
sha1(b_output, last_b);
```
CríticoDES
packages/bun-usockets/src/crypto/default_ciphers.h:15
Evidência
```
"!DES:"                            \
```
CríticoRC4 / ARCFOUR
packages/bun-usockets/src/crypto/default_ciphers.h:16
Evidência
```
"!RC4:"                            \
```
CríticoMD5
packages/bun-usockets/src/crypto/default_ciphers.h:17
SHA3-256 or SHA-256
Evidência
```
"!MD5:"                            \
```
CríticoSHA-1
packages/bun-uws/src/WebSocketHandshake.h:91
SHA-256 or SHA3-256
Evidência
```
static inline void sha1(uint32_t hash[5], uint32_t b[16]) {
```

+ 7 findings no relatório completo

Escaneie seu próprio repositório

Grátis. Resultados em ~90 segundos. CBOM + PDF DORA/NIS2 inclusos.

Começar scan grátis