Edge-home-orchestration-go: [Discussão] Precisamos retificar SecurityMgr? (Tratamento de dados sensíveis)
Pessoalmente, acho que dados confidenciais são retornados por um acesso a passPhraseJWTPath . O que você acha? @tdrozdovsky
Este pode ser o mesmo risco de segurança potencial mostrado a seguir.
MoonkiHong
Todos 6 comentários
@tdrozdovsky Plus, você poderia retificar se err for usado em nossa plataforma?
MoonkiHong
em 14 set. 2020
@tdrozdovsky Isso se deve à minha análise em andamento com a ferramenta lgtm seguir.
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list
MoonkiHong
em 14 set. 2020
Pessoalmente, acho que dados confidenciais são retornados por um acesso a
passPhraseJWTPath. O que você acha? @tdrozdovskyEste pode ser o mesmo risco de segurança potencial mostrado a seguir.
Bom ponto, eu sei e me lembro desse problema de segurança.
Estes apenas informam sobre uma tentativa fracassada de criar o arquivo passPhraseJWTFilePath .
Mas é claro que armazenar essas informações em arquivos (passPhrase, edge-orchestration.key, etc) é um risco de segurança.
Acho que no futuro isso deve ser resolvido com armazenamento seguro ou com sistema de controle de acesso como: SeLinux, SMACK, etc.
Obrigado por lembrete
tdrozdovsky
em 14 set. 2020
@tdrozdovsky Obrigado por aceitar minha sugestão. Acabei de atribuir esse problema a você. Estamos ansiosos para ver sua outra contribuição valiosa em breve!
MoonkiHong
em 14 set. 2020
@tdrozdovsky Plus, você poderia retificar se
errfor usado em nossa plataforma?
Eu pesquisei usando a variável err . O tratamento de erros é feito abaixo.
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
O processamento adicional tornará o código mais complexo.
Portanto, sugiro ignorar a variável err .
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Plus, você poderia retificar se
errfor usado em nossa plataforma?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180Eu pesquisei usando a variável
err. O tratamento de erros é feito abaixo.if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }O processamento adicional tornará o código mais complexo.
Portanto, sugiro ignorar a variável
err.deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky É razoável. ^^ Você poderia sugerir o PR sobre isso?
MoonkiHong
em 15 set. 2020
Questões relacionadas
t25kim
·
4Comentários
t25kim
·
3Comentários
t25kim
·
5Comentários
t25kim
·
7Comentários
t25kim
·
3Comentários
Comentários muito úteis
Eu pesquisei usando a variável
err. O tratamento de erros é feito abaixo.O processamento adicional tornará o código mais complexo.
Portanto, sugiro ignorar a variável
err.