Edge-home-orchestration-go: [Обсуждение] Надо ли исправить SecurityMgr? (Обработка конфиденциальных данных)
Я лично считаю, что конфиденциальные данные возвращаются при доступе к passPhraseJWTPath . Что вы думаете? @tdrozdovsky
Это может быть такая же потенциальная угроза безопасности, как показано ниже.
MoonkiHong
Все 6 Комментарий
@tdrozdovsky Plus, не могли бы вы исправить, если в нашей платформе используется err ?
MoonkiHong
14 сент. 2020
@tdrozdovsky Это связано с моим постоянным анализом с помощью следующего инструмента lgtm .
https://lgtm.com/projects/g/lf-edge/edge-home-orchestration-go/alerts/?mode=list
MoonkiHong
14 сент. 2020
Я лично считаю, что конфиденциальные данные возвращаются при доступе к
passPhraseJWTPath. Что вы думаете? @tdrozdovskyЭто может быть такая же потенциальная угроза безопасности, как показано ниже.
Хороший момент, я знаю и помню эту проблему с безопасностью.
Они только информируют о неудачной попытке создать файл passPhraseJWTFilePath .
Но, конечно, хранение такой информации в файлах (passPhrase, edge-orchestration.key и т. Д.) Представляет собой угрозу безопасности.
Я думаю, что в будущем это должно быть решено с помощью безопасного хранилища или системы контроля доступа, такой как: SeLinux, SMACK и т. Д.
Спасибо за напоминание
tdrozdovsky
14 сент. 2020
@tdrozdovsky Спасибо, что приняли мое предложение. Я только что поручил вам эту проблему. Мы с нетерпением ждем возможности увидеть ваш еще один ценный вклад в ближайшее время!
MoonkiHong
14 сент. 2020
@tdrozdovsky Plus, не могли бы вы исправить, если в нашей платформе используется
err?
Я исследовал, используя переменную err . Обработка ошибок сделана ниже.
if len(deviceScores) <= 0 {
return errorResp
} else if deviceScores[0].score == scoringmgr.INVALID_SCORE {
return errorResp
}
Дополнительная обработка усложнит код.
Поэтому я предлагаю игнорировать переменную err .
deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Plus, не могли бы вы исправить, если в нашей платформе используется
err?
https://github.com/lf-edge/edge-home-orchestration-go/blob/22ce49b4b76ae78dfb75e14ef64399e5805c7d02/src/orchestrationapi/orchestration_api.go#L180Я исследовал, используя переменную
err. Обработка ошибок сделана ниже.if len(deviceScores) <= 0 { return errorResp } else if deviceScores[0].score == scoringmgr.INVALID_SCORE { return errorResp }Дополнительная обработка усложнит код.
Поэтому я предлагаю игнорировать переменную
err.deviceResources[i].score, _ = orcheEngine.GetScoreWithResource(dev.resource)
@tdrozdovsky Разумно. ^^ Не могли бы вы подсказать по поводу этого пиар?
MoonkiHong
15 сент. 2020
Смежные вопросы
t25kim
·
3Комментарии
MoonkiHong
·
5Комментарии
t25kim
·
3Комментарии
t25kim
·
3Комментарии
t25kim
·
5Комментарии
Самый полезный комментарий
Я исследовал, используя переменную
err. Обработка ошибок сделана ниже.Дополнительная обработка усложнит код.
Поэтому я предлагаю игнорировать переменную
err.