Edge-home-orchestration-go: [Diskussion] Müssen wir SecurityMgr korrigieren? (Sensibler Umgang mit Daten)

@tdrozdovsky Plus, könnten Sie korrigieren, wenn err auf unserer Plattform verwendet wird?

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

@tdrozdovsky Dies liegt an meiner laufenden Analyse mit dem Tool lgtm wie folgt.

https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list

Ich persönlich denke, dass bei einem Zugriff auf passPhraseJWTPath sensible Daten zurückgegeben werden. Was denken Sie? @tdrozdovsky

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L70

Dies könnte das gleiche potenzielle Sicherheitsrisiko wie folgt sein.

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L84

Guter Punkt, ich kenne und erinnere mich an dieses Sicherheitsproblem.

Diese informieren nur über einen fehlgeschlagenen Versuch, die Datei passPhraseJWTFilePath erstellen.
Aber natürlich ist das Speichern solcher Informationen in Dateien (passPhrase, edge-orchestration.key usw.) ein Sicherheitsrisiko.
Ich denke, in Zukunft sollte dies mit sicherer Speicherung oder mit Zugangskontrollsystemen wie: SeLinux, SMACK usw. gelöst werden.

Danke für die Erinnerung

@tdrozdovsky Vielen Dank, dass Sie meinen Vorschlag angenommen haben. Diese Ausgabe habe ich Ihnen gerade zugewiesen. Wir freuen uns darauf, bald Ihren weiteren wertvollen Beitrag zu sehen!

@tdrozdovsky Plus, könnten Sie korrigieren, wenn err auf unserer Plattform verwendet wird?

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

Ich habe mit der Variablen err recherchiert. Die Fehlerbehandlung wird unten durchgeführt.

if len(deviceScores) <= 0 {
        return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
    return errorResp
}

Durch zusätzliche Verarbeitung wird der Code komplexer.

Daher schlage ich vor, die Variable err zu ignorieren.

    deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)

@tdrozdovsky Plus, könnten Sie korrigieren, wenn err auf unserer Plattform verwendet wird?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

Ich habe mit der Variablen err recherchiert. Die Fehlerbehandlung wird unten durchgeführt.

if len(deviceScores) <= 0 {
      return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
  return errorResp
}

Durch zusätzliche Verarbeitung wird der Code komplexer.

Daher schlage ich vor, die Variable err zu ignorieren.

  deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)

@tdrozdovsky Es ist vernünftig. ^^ Könnten Sie die entsprechende PR dafür vorschlagen?