Edge-home-orchestration-go: [Discusión] ¿Necesitamos rectificar SecurityMgr? (Manejo de datos sensibles)

@tdrozdovsky Plus, ¿podría rectificar si se usa err en nuestra plataforma?

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

@tdrozdovsky Esto se debe a mi análisis continuo con la herramienta lgtm siguiente manera.

https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list

Personalmente, creo que los datos confidenciales se devuelven mediante un acceso a passPhraseJWTPath . ¿Qué piensas? @tdrozdovsky

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L70

Este podría ser el mismo riesgo de seguridad potencial que se muestra a continuación.

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L84

Buen punto, conozco y recuerdo este problema de seguridad.

Estos solo informan sobre un intento fallido de crear el archivo passPhraseJWTFilePath .
Pero, por supuesto, almacenar dicha información en archivos (passPhrase, edge-orchestration.key, etc.) es un riesgo de seguridad.
Creo que en el futuro esto debería solucionarse con un almacenamiento seguro o con un sistema de control de acceso como: SeLinux, SMACK, etc.

Gracias por recordatorio

@tdrozdovsky Gracias por aceptar mi sugerencia. Te acabo de asignar este problema. ¡Esperamos ver su valiosa contribución pronto!

@tdrozdovsky Plus, ¿podría rectificar si se usa err en nuestra plataforma?

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

Investigué usando la variable err . El manejo de errores se realiza a continuación.

if len(deviceScores) <= 0 {
        return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
    return errorResp
}

El procesamiento adicional hará que el código sea más complejo.

Por lo tanto, sugiero ignorar la variable err .

    deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)

@tdrozdovsky Plus, ¿podría rectificar si se usa err en nuestra plataforma?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

Investigué usando la variable err . El manejo de errores se realiza a continuación.

if len(deviceScores) <= 0 {
      return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
  return errorResp
}

El procesamiento adicional hará que el código sea más complejo.

Por lo tanto, sugiero ignorar la variable err .

  deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)

@tdrozdovsky Es razonable. ^^ ¿Podrías sugerir las relaciones públicas con respecto a esto?