C'è una differenza tra lato server e lato client qui. Dal momento che stai parlando di scrollbar e editor di markdown, presumo che si tratti di client side. Sarei meno interessato ai problemi del lato client, dal momento che la maggior parte dei browser moderni riprende velocemente problemi di sicurezza. Inoltre, i browser cercano di limitare i rischi per la sicurezza e, a volte, agiscono per conto dell'utente (rilevati malware, richieste xhr non valide).
Lato client
Le backdoor sono piuttosto rare per queste librerie o qualsiasi parte del software lato client. Pensato che esistano, HTML5 e il moderno web hanno spinto i browser a implementare alcuni trucchi per prevenire attività dannose, ad esempio; stessa origine, contenuto misto, blocchi popup e avvisi iframe, rimozione di flash, activex e applet e così via ...
Lato server
Il lato server è un'altra storia. Se si utilizzano librerie di terze parti (siano esse opensource o meno) si espone l'ambiente in cui viene eseguita l'applicazione. Spesso le tecniche utilizzate come il jailing, gli autdit, le autorizzazioni per directory applicative e per database (operazioni) minimizzano la possibilità di corrompere / accedere correttamente ai dati e / o ad altri dati ambientali.
Per rispondere alla domanda, si tratta di un problema legittimo che può causare un errore catastrofico. Non è facile / impossibile controllare ogni pezzo di codice che semplicemente. Oggigiorno le strutture dipendono molto da plugin, estensioni e librerie. Opensource non equivale a correzioni rapide di sicurezza, ma possiamo supporre che più persone usano qualcosa, i bug più veloci sono segnalati e risolti. Metti in atto i sistemi per limitare le possibilità quando fa non funziona. Avere un piano di emergenza, progettare per il fallimento, usare i log (di controllo), fare in modo che i daemon eseguano la scansione degli accesslogs e così via. Quando si tratta di backdoor, le persone sembrano spesso dimenticare il firewall in uscita.