drools电子表格.电子表格规则的输入验证

Question

我目前正在研究设计一个使用drools决策表电子表格格式(链接到jboss文档)的业务解决方案。业务用户将拥有和维护电子表格中的规则。

使用决策表格式的一个主要好处是，将来可以很容易地修改规则以适应不同的规则结构。

Drools将基于电子表格的规则数据编译为本机规则格式。编译器的一个示例实现可以看到这里。

我将从安全团队得到的一个关注是，规则电子表格数据是用户输入，应该验证所有用户输入的正确性，以确保它不包含恶意数据(有关输入验证的基本原理，请参阅此处。)。

问题：

1. 业务用户是否存在将恶意数据添加到规则电子表格的安全风险？
2. 风险有多大？例如，编译器是否充分验证用户输入的数据？
3. 如何减轻风险？例如，在将规则部署到生产环境之前，另一方会可视化地验证电子表格中的规则。

Answer 1

由于规则可以包含java代码，因此安全风险实际上比恶意数据更大。用户可以很容易地插入自己选择的java代码来访问您的系统。

您可以使用drools验证器并编写自己的规则，但不可能消除所有的风险。

使用第三方来验证规则可能有效，但是进行验证的人必须是程序员才能正确评估风险，这将抵消使用电子表格的优点。

在我看来，电子表格被高估了：

• 有你提到的固有的安全风险
• 对于非技术人员来说，修改规则操作部件和有一个损坏的XLS文件非常容易。
• 定义和使用查找表是一件很麻烦的事情。

我建议，一旦您的项目变得稳定，抛弃电子表格，为决策表实现您自己的用户界面，或者如果您使用guvnor，将其嵌入到您的web应用程序中。