أنا شخصياً أعتقد أن البيانات الحساسة يتم إرجاعها من خلال الوصول إلى passPhraseJWTPath
. ماذا تعتقد؟ تضمين التغريدة
قد يكون هذا هو نفس المخاطر الأمنية المحتملة على النحو التالي.
tdrozdovsky Plus ، هل يمكنك تصحيح ما إذا تم استخدام err
في منصتنا؟
tdrozdovsky هذا بسبب تحليلي المستمر باستخدام الأداة lgtm
النحو التالي.
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/؟mode=list
أنا شخصياً أعتقد أن البيانات الحساسة يتم إرجاعها من خلال الوصول إلى
passPhraseJWTPath
. ماذا تعتقد؟ تضمين التغريدةقد يكون هذا هو نفس المخاطر الأمنية المحتملة على النحو التالي.
نقطة جيدة ، أعلم وأتذكر مشكلة الأمان هذه.
هذه المعلومات فقط حول محاولة فاشلة لإنشاء الملف passPhraseJWTFilePath
.
لكن بطبيعة الحال ، فإن تخزين مثل هذه المعلومات في ملفات (عبارة المرور ، حافة orchestration.key ، إلخ) يمثل مخاطرة أمنية.
أعتقد أنه يجب حل هذا في المستقبل من خلال التخزين الآمن أو باستخدام نظام التحكم في الوصول مثل: SeLinux و SMACK وما إلى ذلك.
شكرا للتذكير
tdrozdovsky @ أشكركم على قبول اقتراحي. لقد قمت للتو بتعيين هذه المشكلة لك. نتطلع إلى رؤية مساهمتك القيمة الأخرى قريبًا!
tdrozdovsky Plus ، هل يمكنك تصحيح ما إذا تم استخدام
err
في منصتنا؟
لقد أجريت بحثًا باستخدام متغير err
. يتم معالجة الخطأ أدناه.
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
المعالجة الإضافية ستجعل الكود أكثر تعقيدًا.
لذلك ، أقترح تجاهل المتغير err
.
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
tdrozdovsky Plus ، هل يمكنك تصحيح ما إذا تم استخدام
err
في منصتنا؟
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180لقد أجريت بحثًا باستخدام متغير
err
. يتم معالجة الخطأ أدناه.if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }
المعالجة الإضافية ستجعل الكود أكثر تعقيدًا.
لذلك ، أقترح تجاهل المتغير
err
.deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@ tdrozdovsky إنه أمر معقول. ^^ هل يمكنك اقتراح العلاقات العامة بخصوص هذا؟
التعليق الأكثر فائدة
لقد أجريت بحثًا باستخدام متغير
err
. يتم معالجة الخطأ أدناه.المعالجة الإضافية ستجعل الكود أكثر تعقيدًا.
لذلك ، أقترح تجاهل المتغير
err
.