一、先说结论:假的
谣言!假的。
Vue 依然是安全的,可以放心在各种项目中使用。
二、事情经过
2.1 风穴来空的新闻
最近一段时间,有一张来源不明的图片,和一些语焉不详的传言在前端圈内被广泛传播。
总结一下:
SonarQube和Vue.js这俩东西有漏洞,黑客正在利用它们搞事。快别用了!实在没法替换,也得打补丁。
许多不明真相的同学被这条消息吓得不轻,以为自己又要熬夜升级系统了。
但对网络安全稍有了解的同学,很容易就能发现这段话中让人感到困惑的地方。
Vue.js作为一款渐进式前端框架,近期并没有被暴出什么确切的安全漏洞,怎么就突然成为了“黑客组织”的工具?一个前端框架,能直接具备多严重的安全漏洞?(暂时只能想到xss)- 在 国家信息安全漏洞库 http://www.cnnvd.org.cn/ 里,并没有直接与
Vue.js相关的安全漏洞。按Vue.js的使用领域之广,若真有这么严重的问题,一定已经是头版头条了。
很显然,这是一条漏洞百出的新闻,但在各种社交工具上仍然疯狂传播。
2.2 vue 作者亲自回答
知名前端研发,Vue.js 之父,某乎大V,掘金社区著名用户尤雨溪,在2022年1月25日,于某乎上发布文章《关于近日涉及 SonarQube 和 Vue 的漏洞通知》进行辟谣。
文章很长,看结论即可:
一句话总结:你只要正常用,Vue.js 安全的很!
三、如何识别类似谣言?
网络安全已经成为近年来互联网上“头等重要”的大事,相信大家对于前段时间 log4j 造成的安全风波记忆犹新。
更近一点还有 faker.js 被维护者注入恶意代码,也闹得满城风雨。
因此很多同学看到“这类新闻”不由得浑身一震,丧失了平时的冷静。
那么,作为一名成熟的软件工程师,我们要怎么防止被骗呢?
我总结了一下,主要有这三步:
- 去国家信息安全漏洞库 作为国家层面最为权威的漏洞发布平台,如果这上面没有信息,那极有可能这是假新闻。
按图中方法可以快速过滤寻找相关漏洞。
以Vue.js相关谣言搜索结果为例:
挨个点进去瞄一眼,根本没有 vue.js 本体存在漏洞的说法。
假!
- 某歌/某度 搜一下,这么大的事情,没可能“社交聊天工具”的传播速度比“某歌/某度”更广泛。
搜索结果静悄悄,完全没有相关信息——假!
github/issues走一遭!如果出现类似这种问题,相关仓库的issues里一定会有人要求维护者立刻进行紧急更新,并提供升级方法的。
最近一条相关讨论是 2020年 的 ——假!
OK,同学们学会了吗?一定要擦亮眼睛哟!
结束
我是春哥。
我热爱 vue.js , ElementUI , Element Plus 相关技术栈,我的目标是给大家分享最实用、最有用的知识点,希望大家都可以早早下班,并可以飞速完成工作,淡定摸鱼🐟。
你可以在掘金关注我:春哥的梦想是摸鱼,也可以在公众号里找到我:前端要摸鱼。
希望大家在 2022 变得更强。
