Pessoalmente, acho que dados confidenciais são retornados por um acesso a passPhraseJWTPath
. O que você acha? @tdrozdovsky
Este pode ser o mesmo risco de segurança potencial mostrado a seguir.
@tdrozdovsky Plus, você poderia retificar se err
for usado em nossa plataforma?
@tdrozdovsky Isso se deve à minha análise em andamento com a ferramenta lgtm
seguir.
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list
Pessoalmente, acho que dados confidenciais são retornados por um acesso a
passPhraseJWTPath
. O que você acha? @tdrozdovskyEste pode ser o mesmo risco de segurança potencial mostrado a seguir.
Bom ponto, eu sei e me lembro desse problema de segurança.
Estes apenas informam sobre uma tentativa fracassada de criar o arquivo passPhraseJWTFilePath
.
Mas é claro que armazenar essas informações em arquivos (passPhrase, edge-orchestration.key, etc) é um risco de segurança.
Acho que no futuro isso deve ser resolvido com armazenamento seguro ou com sistema de controle de acesso como: SeLinux, SMACK, etc.
Obrigado por lembrete
@tdrozdovsky Obrigado por aceitar minha sugestão. Acabei de atribuir esse problema a você. Estamos ansiosos para ver sua outra contribuição valiosa em breve!
@tdrozdovsky Plus, você poderia retificar se
err
for usado em nossa plataforma?
Eu pesquisei usando a variável err
. O tratamento de erros é feito abaixo.
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
O processamento adicional tornará o código mais complexo.
Portanto, sugiro ignorar a variável err
.
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Plus, você poderia retificar se
err
for usado em nossa plataforma?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180Eu pesquisei usando a variável
err
. O tratamento de erros é feito abaixo.if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }
O processamento adicional tornará o código mais complexo.
Portanto, sugiro ignorar a variável
err
.deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky É razoável. ^^ Você poderia sugerir o PR sobre isso?
Comentários muito úteis
Eu pesquisei usando a variável
err
. O tratamento de erros é feito abaixo.O processamento adicional tornará o código mais complexo.
Portanto, sugiro ignorar a variável
err
.