Edge-home-orchestration-go: [安全] CWE-78 命令由用户控制的来源构建

创建于 2021-05-06  ·  3评论  ·  资料来源: lf-edge/edge-home-orchestration-go

Lgtm 和 CodeQL 检测到 CWE-78 安全问题。
我们需要一个进程来检查启动本机应用程序的输入是否包含恶意字符串。

high priority
资料来源
picture t25kim
👍2

最有用的评论

@tdrozdovsky您如何看待@t25kim 的建议?

picture MoonkiHong 于 2021-05-07
👍2

所有3条评论

@tdrozdovsky您如何看待@t25kim 的建议?

MoonkiHong picture MoonkiHong 于 2021-05-07
👍2

@tdrozdovsky此问题会影响其他与 CWE-78 无关的 PR,例如 #297,应尽快修复。 我在启动本机应用程序的代码之前放置了一些用于命令验证的代码。 但是,CodeQL 仍然检测到 CWE-78。
有没有其他方法可以解决这个问题? 或者是否可以使用 PR #299 将其标记为False positive

t25kim picture t25kim 于 2021-05-07
👍1

感谢您尝试消除此问题。 之前写过native模式有一个很大的漏洞,后来很惊讶系统没有检测到。 但是现在一切都正确显示并且检测到漏洞。
这个问题只有在系统层面使用Linux内核的保护机制才能完全解决。 但我会尝试在我们的项目中解决它。 完成 TLS 后,我立即执行此问题。

tdrozdovsky picture tdrozdovsky 于 2021-05-07
👍1
此页面是否有帮助?
0 / 5 - 0 等级

相关问题

MoonkiHong picture MoonkiHong  ·  4评论
MoonkiHong picture MoonkiHong  ·  6评论
MoonkiHong picture MoonkiHong  ·  5评论
DoomsdayT picture DoomsdayT  ·  3评论
t25kim picture t25kim  ·  5评论