Edge-home-orchestration-go: [토론] SecurityMgr을 수정해야 하나요? (민감한 데이터 취급)

에 만든 2020년 09월 14일 · 6코멘트 · 출처: lf-edge/edge-home-orchestration-go

개인적으로 민감한 데이터는 passPhraseJWTPath 에 대한 액세스로 반환된다고 생각합니다. 어떻게 생각하나요? @tdrozdovsky

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L70

이것은 다음과 동일한 잠재적 보안 위험일 수 있습니다.

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L84

enhancement question

출처

MoonkiHong

👍1

가장 유용한 댓글

@tdrozdovsky Plus, err 이 플랫폼에서 사용되는 경우 수정할 수 있습니까?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

err 변수를 사용하여 조사했습니다. 오류 처리는 아래에서 수행됩니다.

if len(deviceScores) <= 0 {
        return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
    return errorResp
}

추가 처리는 코드를 더 복잡하게 만듭니다.

따라서 err 변수를 무시하는 것이 좋습니다.

    deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)

tdrozdovsky 에 2020년 09월 14일

❤1 👍1

모든 6 댓글

@tdrozdovsky Plus, err 이 플랫폼에서 사용되는 경우 수정할 수 있습니까?

https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

MoonkiHong 에 2020년 09월 14일

@tdrozdovsky 이것은 다음과 같이 lgtm 도구를 사용한 지속적인 분석 때문입니다.

https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list

MoonkiHong 에 2020년 09월 14일

👍2

개인적으로 민감한 데이터는 passPhraseJWTPath 에 대한 액세스로 반환된다고 생각합니다. 어떻게 생각하나요? @tdrozdovsky
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L70
이것은 다음과 동일한 잠재적 보안 위험일 수 있습니다.
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/controller/securemgr/authenticator/authenticator.go#L84

좋은 점, 저는 이 보안 문제를 알고 기억하고 있습니다.

passPhraseJWTFilePath 파일 생성 시도 실패에 대해서만 알려줍니다.
그러나 물론 이러한 정보를 파일(passPhrase, edge-orchestration.key 등)에 저장하는 것은 보안 위험입니다.
미래에는 보안 스토리지나 SeLinux, SMACK 등과 같은 액세스 제어 시스템으로 이 문제를 해결해야 한다고 생각합니다.

상기시켜주셔서 감사합니다

tdrozdovsky 에 2020년 09월 14일

❤1 👍1

@tdrozdovsky 제 제안을 받아주셔서 감사합니다. 나는 당신에게 이 문제를 방금 할당했습니다. 우리는 곧 또 다른 귀중한 기여를 볼 수 있기를 기대합니다!

MoonkiHong 에 2020년 09월 14일

@tdrozdovsky Plus, err 이 플랫폼에서 사용되는 경우 수정할 수 있습니까?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180

err 변수를 사용하여 조사했습니다. 오류 처리는 아래에서 수행됩니다.

if len(deviceScores) <= 0 {
        return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
    return errorResp
}

추가 처리는 코드를 더 복잡하게 만듭니다.

따라서 err 변수를 무시하는 것이 좋습니다.

    deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)

tdrozdovsky 에 2020년 09월 14일

❤1 👍1

@tdrozdovsky Plus, err 이 플랫폼에서 사용되는 경우 수정할 수 있습니까?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180
err 변수를 사용하여 조사했습니다. 오류 처리는 아래에서 수행됩니다.
if len(deviceScores) <= 0 {
      return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
  return errorResp
}
추가 처리는 코드를 더 복잡하게 만듭니다.
따라서 err 변수를 무시하는 것이 좋습니다.
  deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)

@tdrozdovsky 합리적입니다. ^^ 이에 대한 홍보를 제안해 주시겠습니까?

MoonkiHong 에 2020년 09월 15일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Edge-home-orchestration-go: [토론] SecurityMgr을 수정해야 하나요? (민감한 데이터 취급)

가장 유용한 댓글

모든 6 댓글

관련 문제