Я лично считаю, что конфиденциальные данные возвращаются при доступе к passPhraseJWTPath
. Что вы думаете? @tdrozdovsky
Это может быть такая же потенциальная угроза безопасности, как показано ниже.
@tdrozdovsky Plus, не могли бы вы исправить, если в нашей платформе используется err
?
@tdrozdovsky Это связано с моим постоянным анализом с помощью следующего инструмента lgtm
.
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list
Я лично считаю, что конфиденциальные данные возвращаются при доступе к
passPhraseJWTPath
. Что вы думаете? @tdrozdovskyЭто может быть такая же потенциальная угроза безопасности, как показано ниже.
Хороший момент, я знаю и помню эту проблему с безопасностью.
Они только информируют о неудачной попытке создать файл passPhraseJWTFilePath
.
Но, конечно, хранение такой информации в файлах (passPhrase, edge-orchestration.key и т. Д.) Представляет собой угрозу безопасности.
Я думаю, что в будущем это должно быть решено с помощью безопасного хранилища или системы контроля доступа, такой как: SeLinux, SMACK и т. Д.
Спасибо за напоминание
@tdrozdovsky Спасибо, что приняли мое предложение. Я только что поручил вам эту проблему. Мы с нетерпением ждем возможности увидеть ваш еще один ценный вклад в ближайшее время!
@tdrozdovsky Plus, не могли бы вы исправить, если в нашей платформе используется
err
?
Я исследовал, используя переменную err
. Обработка ошибок сделана ниже.
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
Дополнительная обработка усложнит код.
Поэтому я предлагаю игнорировать переменную err
.
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Plus, не могли бы вы исправить, если в нашей платформе используется
err
?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180Я исследовал, используя переменную
err
. Обработка ошибок сделана ниже.if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }
Дополнительная обработка усложнит код.
Поэтому я предлагаю игнорировать переменную
err
.deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Разумно. ^^ Не могли бы вы подсказать по поводу этого пиар?
Самый полезный комментарий
Я исследовал, используя переменную
err
. Обработка ошибок сделана ниже.Дополнительная обработка усложнит код.
Поэтому я предлагаю игнорировать переменную
err
.