当运行命令“npm install”或“npmaudit”时,我通常会收到软件包漏洞的通知。就我而言,我仅将 npm 包用于 Javascript 客户端,并将其作为 SPA(单页应用程序)发送给用户。
是否存在我应该注意的影响 npm UI/UX 实现的安全漏洞,或者这些消息是否专门用于在 Node 服务器上使用 npm 包时?
这是我运行“npmaudit”的示例:
最佳答案
是的,这可能很重要。
人们之前曾尝试通过前端代码窃取恶意软件。到目前为止,它是通过感染广告服务器或类似的东西(例如使用 JSONP 的 API)实现的。但这可以通过感染 npm 上的模块来完成。
有一个相当的famous case of someone inserting code to steal Bitcoin private keys (允许他们花费其他人的比特币)通过修改 EventStream 的代码模块。这是一个相当微妙和漫长的操作,黑客首先自愿修复错误,然后帮助维护库,最后请求成为主要维护者。
EventStream 是一个仅 Node.js 的模块,因此它不是前端的东西。但是,有人可能会悄悄添加代码来修改 Math.random 或 window.fetch 等内容,从而 secret 更改您的逻辑或窥探您的通信。
如果漏洞被发送到浏览器代码,您应该调查它是什么以及它是否对您的应用程序很重要。
如果该漏洞仅影响开发人员工具(例如 css 预处理器或像 gulp 这样的构建系统),那么它并不重要,因为它仅在您构建或调试项目时才会执行.
关于javascript - npm 漏洞对前端重要吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57678217/