アーティクル - CS326459
ThingWorx 拡張機能のセキュリティ
修正日: 28-Dec-2022
適用対象
- ThingWorx Platform 8.4 to 9.0
説明
- ThingWorx は拡張性の高い産業用 IoT プラットフォームであり、その機能は「カスタム」コード (ThingWorx プラットフォームの一部として提供されていないものなど) を使用して拡張できます。
- このカスタム コードは通常、いくつかの形式を取ることができます (詳細については、ThingWorx ヘルプ センターの「 拡張機能のインポート」セクションを参照してください)。
- 他のメソッドに加えて、ThingWorx のアプリケーション ロジックは JavaScript で記述でき、関連するエンティティに保存して、実行時にRhino エンジンを介して実行できます。このロジックは、通常、エンティティ XML ファイルを介してエクスポート/転送されます。
- カスタム JavaScript を使用して誤ってソフトウェアの脆弱性を導入したり、不明なソースから XML ファイルをダウンロードした場合に、そのような拡張機能を介して悪意のあるコードを ThingWorx プラットフォームにロードしたりする可能性があります。
- 一般的に使用されている一部の静的分析ツールでさえ、XML ファイル内にネストされた JavaScript を分析できません。
最新バージョンはこちらを参照ください CS326459