OpenCTI平台中Indicator和Observable评分更新问题的分析与解决方案

问题背景

在OpenCTI平台（一个开源威胁情报平台）中，用户在使用过程中发现了一个关于评分更新的技术问题。当用户尝试为Indicator（指标）、Observable（可观察对象）或Organization（组织）等实体更新评分时，如果输入了带有小数点的数值（如35.5），系统虽然在前端界面和API层面允许这种输入，但最终会在数据库层面操作失败，导致用户只能看到一个通用的错误提示。

技术分析

这个问题本质上是一个数据验证不完整的问题，涉及以下几个技术层面：

1. 前端验证缺失：Web界面没有对输入的评分值进行严格的整数验证
2. API层验证不足：GraphQL API虽然接收了请求，但没有对数据进行充分验证
3. 数据库约束：后端数据库可能设置了整数字段，导致小数无法存储

这种多层验证的不一致导致了最终的用户体验问题。从技术架构角度看，这是一个典型的"防御性编程"不足的案例，应该在尽可能靠近用户输入的层面就进行严格验证。

解决方案探讨

针对这个问题，社区提出了几种可行的解决方案：

1. 前端严格验证：

   • 使用Yup验证库的number().integer()方法确保输入必须是整数
   • 或者采用正则表达式验证：^(100|[1-9]?[0-9])$确保输入是0-100的整数

2. API层增强验证：

   • 在GraphQL解析器中添加验证逻辑
   • 返回更友好的错误信息，指导用户输入正确的格式

3. 数据转换方案：

   • 自动对输入的小数进行四舍五入（如使用Math.round()）
   • 这种方案虽然能解决问题，但可能隐藏用户的真实意图，不是最佳实践

最佳实践建议

对于这类问题，建议采用"多层防御"的策略：

1. 前端第一道防线：在用户输入时就进行严格验证，防止非法值进入系统
2. API第二道防线：即使前端验证通过，API也应进行业务逻辑验证
3. 数据库最后防线：虽然数据库约束很重要，但不应该依赖它来提供用户友好的错误信息

对于评分这种业务数据，特别建议：

• 明确文档说明评分必须是整数
• 在UI上提供清晰的输入提示
• 实现即时的输入验证反馈

总结