Edge-home-orchestration-go: [Diskusi] Apakah kita perlu memperbaiki SecurityMgr? (Penanganan Data Sensitif)
Saya pribadi berpikir bahwa data sensitif dikembalikan oleh akses ke passPhraseJWTPath . Bagaimana menurutmu? @tdrozdovsky
Ini mungkin risiko keamanan potensial yang sama sebagai berikut.
MoonkiHong
Semua 6 komentar
@tdrozdovsky Plus, dapatkah Anda memperbaiki jika err digunakan di platform kami?
MoonkiHong
pada 14 Sep 2020
@tdrozdovsky Ini karena analisis saya yang sedang berlangsung dengan alat lgtm sebagai berikut.
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list
MoonkiHong
pada 14 Sep 2020
Saya pribadi berpikir bahwa data sensitif dikembalikan oleh akses ke
passPhraseJWTPath. Bagaimana menurutmu? @tdrozdovskyIni mungkin risiko keamanan potensial yang sama sebagai berikut.
Poin bagus, saya tahu dan ingat masalah keamanan ini.
Ini hanya menginformasikan tentang upaya yang gagal untuk membuat file passPhraseJWTFilePath .
Tapi tentu saja, menyimpan informasi tersebut dalam file (passphrase, edge-orchestration.key, dll) adalah risiko keamanan.
Saya pikir di masa depan ini harus diselesaikan dengan penyimpanan yang aman atau dengan sistem kontrol akses seperti: SeLinux, SMACK, dll.
Terima kasih sudah mengingatkan
tdrozdovsky
pada 14 Sep 2020
@tdrozdovsky Terima kasih telah menerima saran saya. Saya baru saja menyerahkan masalah ini kepada Anda. Kami berharap dapat melihat kontribusi berharga Anda yang lain segera!
MoonkiHong
pada 14 Sep 2020
@tdrozdovsky Plus, dapatkah Anda memperbaiki jika
errdigunakan di platform kami?
Saya meneliti menggunakan variabel err . Penanganan kesalahan dilakukan di bawah ini.
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
Pemrosesan tambahan akan membuat kode lebih kompleks.
Oleh karena itu, saya sarankan untuk mengabaikan variabel err .
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Plus, dapatkah Anda memperbaiki jika
errdigunakan di platform kami?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180Saya meneliti menggunakan variabel
err. Penanganan kesalahan dilakukan di bawah ini.if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }Pemrosesan tambahan akan membuat kode lebih kompleks.
Oleh karena itu, saya sarankan untuk mengabaikan variabel
err.deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Masuk akal. ^^ Bisakah Anda menyarankan PR tentang ini?
MoonkiHong
pada 15 Sep 2020
Masalah terkait
t25kim
·
3Komentar
t25kim
·
4Komentar
MoonkiHong
·
7Komentar
t25kim
·
5Komentar
DoomsdayT
·
3Komentar
Komentar yang paling membantu
Saya meneliti menggunakan variabel
err. Penanganan kesalahan dilakukan di bawah ini.Pemrosesan tambahan akan membuat kode lebih kompleks.
Oleh karena itu, saya sarankan untuk mengabaikan variabel
err.