Edge-home-orchestration-go: [مناقشة] هل نحن بحاجة لتصحيح SecurityMgr؟ (معالجة البيانات الحساسة)

تم إنشاؤها على ١٤ سبتمبر ٢٠٢٠  ·  6تعليقات  ·  مصدر: lf-edge/edge-home-orchestration-go

أنا شخصياً أعتقد أن البيانات الحساسة يتم إرجاعها من خلال الوصول إلى passPhraseJWTPath . ماذا تعتقد؟ تضمين التغريدة

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L70

قد يكون هذا هو نفس المخاطر الأمنية المحتملة على النحو التالي.

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L84

enhancement question
مصدر
picture MoonkiHong
👍1

التعليق الأكثر فائدة

tdrozdovsky Plus ، هل يمكنك تصحيح ما إذا تم استخدام err في منصتنا؟

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

لقد أجريت بحثًا باستخدام متغير err . يتم معالجة الخطأ أدناه.

if len(deviceScores) <= 0 {
        return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
    return errorResp
}

المعالجة الإضافية ستجعل الكود أكثر تعقيدًا.

لذلك ، أقترح تجاهل المتغير err .

    deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
picture tdrozdovsky في ١٤ سبتمبر ٢٠٢٠
1 👍1

ال 6 كومينتر

tdrozdovsky Plus ، هل يمكنك تصحيح ما إذا تم استخدام err في منصتنا؟

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

MoonkiHong picture MoonkiHong في ١٤ سبتمبر ٢٠٢٠

tdrozdovsky هذا بسبب تحليلي المستمر باستخدام الأداة lgtm النحو التالي.

https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/؟mode=list

MoonkiHong picture MoonkiHong في ١٤ سبتمبر ٢٠٢٠
👍2

أنا شخصياً أعتقد أن البيانات الحساسة يتم إرجاعها من خلال الوصول إلى passPhraseJWTPath . ماذا تعتقد؟ تضمين التغريدة

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L70

قد يكون هذا هو نفس المخاطر الأمنية المحتملة على النحو التالي.

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L84

نقطة جيدة ، أعلم وأتذكر مشكلة الأمان هذه.

هذه المعلومات فقط حول محاولة فاشلة لإنشاء الملف passPhraseJWTFilePath .
لكن بطبيعة الحال ، فإن تخزين مثل هذه المعلومات في ملفات (عبارة المرور ، حافة orchestration.key ، إلخ) يمثل مخاطرة أمنية.
أعتقد أنه يجب حل هذا في المستقبل من خلال التخزين الآمن أو باستخدام نظام التحكم في الوصول مثل: SeLinux و SMACK وما إلى ذلك.

شكرا للتذكير

tdrozdovsky picture tdrozdovsky في ١٤ سبتمبر ٢٠٢٠
1 👍1

tdrozdovsky @ أشكركم على قبول اقتراحي. لقد قمت للتو بتعيين هذه المشكلة لك. نتطلع إلى رؤية مساهمتك القيمة الأخرى قريبًا!

MoonkiHong picture MoonkiHong في ١٤ سبتمبر ٢٠٢٠

tdrozdovsky Plus ، هل يمكنك تصحيح ما إذا تم استخدام err في منصتنا؟

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

لقد أجريت بحثًا باستخدام متغير err . يتم معالجة الخطأ أدناه.

if len(deviceScores) <= 0 {
        return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
    return errorResp
}

المعالجة الإضافية ستجعل الكود أكثر تعقيدًا.

لذلك ، أقترح تجاهل المتغير err .

    deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
tdrozdovsky picture tdrozdovsky في ١٤ سبتمبر ٢٠٢٠
1 👍1

tdrozdovsky Plus ، هل يمكنك تصحيح ما إذا تم استخدام err في منصتنا؟
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

لقد أجريت بحثًا باستخدام متغير err . يتم معالجة الخطأ أدناه.

if len(deviceScores) <= 0 {
      return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
  return errorResp
}

المعالجة الإضافية ستجعل الكود أكثر تعقيدًا.

لذلك ، أقترح تجاهل المتغير err .

  deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)

@ tdrozdovsky إنه أمر معقول. ^^ هل يمكنك اقتراح العلاقات العامة بخصوص هذا؟

MoonkiHong picture MoonkiHong في ١٥ سبتمبر ٢٠٢٠
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

t25kim picture t25kim  ·  5تعليقات
t25kim picture t25kim  ·  3تعليقات
t25kim picture t25kim  ·  3تعليقات
MoonkiHong picture MoonkiHong  ·  5تعليقات
MoonkiHong picture MoonkiHong  ·  5تعليقات