Ci sono problemi di sicurezza quando si usano i framework popolari (js)?

Question

Ci sono problemi di sicurezza quando si usano i framework popolari (js)?

#1 da (1 voti)
#2 da (0 voti)
#3 da (0 voti)

4

In che misura si dovrebbe avere fiducia nei framework web / js?

La maggior parte dei framework sono open source - sviluppati all'aria aperta. Quindi, molte persone possono impegnarsi in modo semi anonimo nel progetto. La convalida umana può essere ingannata e un utente malintenzionato può eseguire il commit di un codice "dannoso" che viene quindi richiamato involontariamente dal programmatore Web, che utilizza solo il livello API più astratto.

Quanto è realistico tale scenario? E quanto può essere dannoso questo codice?

Inoltre, Angular e React sono stati avviati da Google e Facebook e hanno una rigorosa procedura di revisione. Ora sto guardando il framework sviluppato da Alibaba e (per la maggior parte) la comunità open source cinese.

Considerando la scarsa reputazione dei prodotti IT cinesi, c'è più motivo di preoccuparsi? o è solo qualcosa che i media / politici spingono?

web-application web-service

posta zapnuk 11.07.2018 - 23:46

fonte

3 risposte

Leggi altre domande sui tag web-application web-service

Come ripristinare lo stato predefinito di una penna USB? Simple File Transfer Protocol

score 1 · Answer 1

I miei progetti personali su web / js non sono generalmente affidabili, in quanto l'ecosistema è eccezionalmente debole quando si tratta della sicurezza della supply chain. Detto questo, non sarei insolitamente preoccupato per una grande libreria open source prodotta da Alibaba ampiamente utilizzata. Sarei più preoccupato dei progetti di piccoli nodi profondamente invischiati nel grafico delle dipendenze.

Le preoccupazioni relative all'IT cinese si trovano in prodotti in cui la visibilità, e ancor meno l'analisi della sicurezza, nel prodotto finale o nel processo di produzione sono significativamente più difficili rispetto alle aree open source come chip, hardware e algoritmi.

score 0 · Answer 2

È altamente improbabile verificarsi nei progetti più diffusi anche se è possibile .

Come sottolineato da Siddharth nella sua risposta i principali contributori e revisori analizzeranno il codice prima di unire la richiesta di pull . Anche se passa la recensione e viene unito, c'è un intervallo di tempo prima che venga rilasciato al pubblico.

La maggior parte dei framework popolari ha un programma di rilascio. Oggi non uniscono il cambiamento e lo rilasciano domani. È molto probabile che qualsiasi scappatoia di sicurezza rimarrà inosservata durante questo intervallo di tempo.

score 0 · Answer 3

Lo scenario che hai citato è certamente possibile, ma è altamente improbabile in qualsiasi progetto / progetto open source grande / serio supportato da buone organizzazioni. È vero che un collaboratore esperto può includere del codice dannoso nel suo PR, ma è responsabilità dei contributori / revisori principali analizzarlo a fondo prima della fusione. Avere un processo di rilascio ben strutturato con test beta di build notturni aiuta molto.

Ma sì, non si può mai essere sicuri ed è per questo che le aziende tendono a evitare un sacco di roba open source. Usano solo quelli che sono molto consolidati o supportati da una società.

Aggiornamento: Esempio recente link