個人的には、 passPhraseJWTPath
へのアクセスによって機密データが返されると思います。 どう思いますか? @tdrozdovsky
これは、次のような潜在的なセキュリティリスクと同じである可能性があります。
@tdrozdovsky Plus、 err
がプラットフォームで使用されているかどうかを修正できますか?
@tdrozdovskyこれは、次のようなツールlgtm
を使用した継続的な分析によるものです。
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list
個人的には、
passPhraseJWTPath
へのアクセスによって機密データが返されると思います。 どう思いますか? @tdrozdovskyこれは、次のような潜在的なセキュリティリスクと同じである可能性があります。
良い点ですが、私はこのセキュリティの問題を知っており、覚えています。
これらは、 passPhraseJWTFilePath
ファイルの作成に失敗したことのみを通知します。
ただし、もちろん、そのような情報をファイル(passPhrase、edge-orchestration.keyなど)に保存することはセキュリティ上のリスクです。
将来的には、これは安全なストレージまたはSeLinux、SMACKなどのアクセス制御システムで解決する必要があると思います。
リマインダーありがとうございます
@tdrozdovsky私の提案を受け入れてくれてありがとう。 この問題をあなたに割り当てました。 皆様の貴重なご貢献をお待ちしております!
@tdrozdovsky Plus、
err
がプラットフォームで使用されているかどうかを修正できますか?
err
変数を使用して調査しました。 エラー処理は以下で行われます。
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
追加の処理により、コードがより複雑になります。
したがって、 err
変数を無視することをお勧めします。
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Plus、
err
がプラットフォームで使用されているかどうかを修正できますか?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180
err
変数を使用して調査しました。 エラー処理は以下で行われます。if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }
追加の処理により、コードがより複雑になります。
したがって、
err
変数を無視することをお勧めします。deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovskyそれは合理的です。 ^^これに関するPRについて提案していただけますか?
最も参考になるコメント
err
変数を使用して調査しました。 エラー処理は以下で行われます。追加の処理により、コードがより複雑になります。
したがって、
err
変数を無視することをお勧めします。