Saya pribadi berpikir bahwa data sensitif dikembalikan oleh akses ke passPhraseJWTPath
. Bagaimana menurutmu? @tdrozdovsky
Ini mungkin risiko keamanan potensial yang sama sebagai berikut.
@tdrozdovsky Plus, dapatkah Anda memperbaiki jika err
digunakan di platform kami?
@tdrozdovsky Ini karena analisis saya yang sedang berlangsung dengan alat lgtm
sebagai berikut.
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list
Saya pribadi berpikir bahwa data sensitif dikembalikan oleh akses ke
passPhraseJWTPath
. Bagaimana menurutmu? @tdrozdovskyIni mungkin risiko keamanan potensial yang sama sebagai berikut.
Poin bagus, saya tahu dan ingat masalah keamanan ini.
Ini hanya menginformasikan tentang upaya yang gagal untuk membuat file passPhraseJWTFilePath
.
Tapi tentu saja, menyimpan informasi tersebut dalam file (passphrase, edge-orchestration.key, dll) adalah risiko keamanan.
Saya pikir di masa depan ini harus diselesaikan dengan penyimpanan yang aman atau dengan sistem kontrol akses seperti: SeLinux, SMACK, dll.
Terima kasih sudah mengingatkan
@tdrozdovsky Terima kasih telah menerima saran saya. Saya baru saja menyerahkan masalah ini kepada Anda. Kami berharap dapat melihat kontribusi berharga Anda yang lain segera!
@tdrozdovsky Plus, dapatkah Anda memperbaiki jika
err
digunakan di platform kami?
Saya meneliti menggunakan variabel err
. Penanganan kesalahan dilakukan di bawah ini.
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
Pemrosesan tambahan akan membuat kode lebih kompleks.
Oleh karena itu, saya sarankan untuk mengabaikan variabel err
.
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Plus, dapatkah Anda memperbaiki jika
err
digunakan di platform kami?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180Saya meneliti menggunakan variabel
err
. Penanganan kesalahan dilakukan di bawah ini.if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }
Pemrosesan tambahan akan membuat kode lebih kompleks.
Oleh karena itu, saya sarankan untuk mengabaikan variabel
err
.deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Masuk akal. ^^ Bisakah Anda menyarankan PR tentang ini?
Komentar yang paling membantu
Saya meneliti menggunakan variabel
err
. Penanganan kesalahan dilakukan di bawah ini.Pemrosesan tambahan akan membuat kode lebih kompleks.
Oleh karena itu, saya sarankan untuk mengabaikan variabel
err
.