Personalmente, creo que los datos confidenciales se devuelven mediante un acceso a passPhraseJWTPath
. ¿Qué piensas? @tdrozdovsky
Este podría ser el mismo riesgo de seguridad potencial que se muestra a continuación.
@tdrozdovsky Plus, ¿podría rectificar si se usa err
en nuestra plataforma?
@tdrozdovsky Esto se debe a mi análisis continuo con la herramienta lgtm
siguiente manera.
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list
Personalmente, creo que los datos confidenciales se devuelven mediante un acceso a
passPhraseJWTPath
. ¿Qué piensas? @tdrozdovskyEste podría ser el mismo riesgo de seguridad potencial que se muestra a continuación.
Buen punto, conozco y recuerdo este problema de seguridad.
Estos solo informan sobre un intento fallido de crear el archivo passPhraseJWTFilePath
.
Pero, por supuesto, almacenar dicha información en archivos (passPhrase, edge-orchestration.key, etc.) es un riesgo de seguridad.
Creo que en el futuro esto debería solucionarse con un almacenamiento seguro o con un sistema de control de acceso como: SeLinux, SMACK, etc.
Gracias por recordatorio
@tdrozdovsky Gracias por aceptar mi sugerencia. Te acabo de asignar este problema. ¡Esperamos ver su valiosa contribución pronto!
@tdrozdovsky Plus, ¿podría rectificar si se usa
err
en nuestra plataforma?
Investigué usando la variable err
. El manejo de errores se realiza a continuación.
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
El procesamiento adicional hará que el código sea más complejo.
Por lo tanto, sugiero ignorar la variable err
.
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Plus, ¿podría rectificar si se usa
err
en nuestra plataforma?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180Investigué usando la variable
err
. El manejo de errores se realiza a continuación.if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }
El procesamiento adicional hará que el código sea más complejo.
Por lo tanto, sugiero ignorar la variable
err
.deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Es razonable. ^^ ¿Podrías sugerir las relaciones públicas con respecto a esto?
Comentario más útil
Investigué usando la variable
err
. El manejo de errores se realiza a continuación.El procesamiento adicional hará que el código sea más complejo.
Por lo tanto, sugiero ignorar la variable
err
.