更新时间:2024-12-13 GMT+08:00
安全声明
JDK使用声明
用户基于数据建模引擎(xDM Foundation,简称xDM-F)在应用设计态完成业务应用的数据模型开发和设计之后,需要依次完成操作才会生成应用运行态。由于发布应用需要具备开发编译、生成代码包的能力,因此需要在xDM-F中保留JDK(Java Development Kit)。
JDK风险说明
JDK中包含javac、jmap、jdb等调测工具,攻击者可以利用调测工具调试业务进程,可能对进程造成攻击。但是此类攻击需要攻击者拿到集群节点的Shell权限后才可以执行,xDM-F部署在VPC内,有安全组控制访问,故不将xDM-F暴露给不可信网络即可消解该风险。
Node.js和NPM使用声明
用户基于流程引擎在完成流程元模板设计之后,需要依次完成“发布流程元模板 > 启动流程”操作才会生成流程实例。由于发布流程元模板需要具备开发编译、生成前端静态资源的能力,因此需要在流程引擎中保留Node.js和NPM(Node Package Manager)。
Node.js和NPM风险声明
攻击者可以利用Node.js、NPM编译恶意代码,可能对服务造成攻击。但是此类攻击需要攻击者拿到高权限账号才可以执行,并且流程引擎具有一系列的防护措施,故不将高权限账号公开可消解风险。
父主题: 安全
