Ich persönlich denke, dass bei einem Zugriff auf passPhraseJWTPath
sensible Daten zurückgegeben werden. Was denken Sie? @tdrozdovsky
Dies könnte das gleiche potenzielle Sicherheitsrisiko wie folgt sein.
@tdrozdovsky Plus, könnten Sie korrigieren, wenn err
auf unserer Plattform verwendet wird?
@tdrozdovsky Dies liegt an meiner laufenden Analyse mit dem Tool lgtm
wie folgt.
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list
Ich persönlich denke, dass bei einem Zugriff auf
passPhraseJWTPath
sensible Daten zurückgegeben werden. Was denken Sie? @tdrozdovskyDies könnte das gleiche potenzielle Sicherheitsrisiko wie folgt sein.
Guter Punkt, ich kenne und erinnere mich an dieses Sicherheitsproblem.
Diese informieren nur über einen fehlgeschlagenen Versuch, die Datei passPhraseJWTFilePath
erstellen.
Aber natürlich ist das Speichern solcher Informationen in Dateien (passPhrase, edge-orchestration.key usw.) ein Sicherheitsrisiko.
Ich denke, in Zukunft sollte dies mit sicherer Speicherung oder mit Zugangskontrollsystemen wie: SeLinux, SMACK usw. gelöst werden.
Danke für die Erinnerung
@tdrozdovsky Vielen Dank, dass Sie meinen Vorschlag angenommen haben. Diese Ausgabe habe ich Ihnen gerade zugewiesen. Wir freuen uns darauf, bald Ihren weiteren wertvollen Beitrag zu sehen!
@tdrozdovsky Plus, könnten Sie korrigieren, wenn
err
auf unserer Plattform verwendet wird?
Ich habe mit der Variablen err
recherchiert. Die Fehlerbehandlung wird unten durchgeführt.
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
Durch zusätzliche Verarbeitung wird der Code komplexer.
Daher schlage ich vor, die Variable err
zu ignorieren.
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Plus, könnten Sie korrigieren, wenn
err
auf unserer Plattform verwendet wird?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180Ich habe mit der Variablen
err
recherchiert. Die Fehlerbehandlung wird unten durchgeführt.if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }
Durch zusätzliche Verarbeitung wird der Code komplexer.
Daher schlage ich vor, die Variable
err
zu ignorieren.deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Es ist vernünftig. ^^ Könnten Sie die entsprechende PR dafür vorschlagen?
Hilfreichster Kommentar
Ich habe mit der Variablen
err
recherchiert. Die Fehlerbehandlung wird unten durchgeführt.Durch zusätzliche Verarbeitung wird der Code komplexer.
Daher schlage ich vor, die Variable
err
zu ignorieren.