Во-первых, вывод: неверно
слух! подделка.
VueОн по-прежнему безопасен и может с уверенностью использоваться в различных проектах.
Во-вторых, что произошло
2.1 Неожиданные новости
В последнее время в фронтенд-кругах широко распространилась неустановленная картина и какие-то туманные слухи.
В заключение:
SonarQubeа такжеVue.jsВ обеих этих вещах есть лазейки, и хакеры ими пользуются. Прекратите использовать его! На самом деле нет никакого способа заменить его, и это должно быть исправлено.
Многие студенты, которые не знали правды, были напуганы этой новостью, думая, что им придется не спать всю ночь, чтобы снова обновить систему.
Тем не менее, студенты, которые немного разбираются в сетевой безопасности, могут легко найти в этом отрывке запутанную часть.
-
Vue.jsКак прогрессивный интерфейсный фреймворк, в последнее время он не подвергался каким-либо конкретным лазейкам в безопасности, так почему же он вдруг стал инструментом для «хакерских организаций»? Насколько серьезными уязвимостями безопасности может быть интерфейсный фреймворк? (Пока что я могу думать только оxss) - существуетНациональная база данных уязвимостей информационной безопасности http://www.cnnvd.org.cn/, прямого нет
Vue.jsсоответствующие уязвимости безопасности. согласно сVue.jsОн широко используется, и если есть такая серьезная проблема, это должен быть заголовок на первой полосе.
Очевидно, что это дырявая новость, но она по-прежнему активно распространяется в различных социальных сетях.
2.2 vueСам автор отвечает
Известные передовые исследования и разработки,Vue.jsОтец, некий большой Ви, известный пользователь в сообществе Nuggets.Ю Юси, 25 января 2022 г. опубликовал на huhu статью «Уведомление об уязвимостях, связанных с SonarQube и Vue за последние годы», чтобы опровергнуть слухи.
Статья очень длинная, только посмотрите на заключение:
Краткое содержание одной фразы:Пока вы используете его в обычном режиме,Vue.jsОчень безопасно!
3. Как идентифицировать подобные слухи?
Сетевая безопасность стала «высшим приоритетом» в Интернете в последние годы.log4jВозникшая в результате суматоха в области безопасности до сих пор свежа в моей памяти.
даже ближеfaker.jsВредоносный код, введенный мейнтейнером, также доставил много неприятностей.
Поэтому многие студенты были шокированы, увидев «такую новость», и потеряли обычное спокойствие.
Итак, как зрелый инженер-программист может не быть обманутым?
Я подытожил, есть в основном три шага:
- идтиНациональная база данных уязвимостей информационной безопасностиКак самая авторитетная платформа публикации уязвимостей на национальном уровне, если на ней нет информации, то, скорее всего,это фейковые новости.
По методу на рисунке можно быстро фильтровать, чтобы найти связанные уязвимости.
кVue.jsПримеры результатов поиска связанных слухов:
Зайди и посмотри один за другим, там вообще ничего нетvue.jsВ онтологии есть лазейки.
Подделка!
- определенная песня / определенная степеньПоиск, такая большая вещь, невозможно, чтобы «инструменты социального чата» распространялись шире, чем «песня/степень».
Результаты поиска тихие, абсолютно никакой актуальной информации - фейк!
-
github/issuesПрогуляться! При возникновении подобной проблемы соответствующий складissuesОпределенно найдется кто-то, кто попросит сопровождающего немедленно выполнить экстренное обновление и предоставить метод обновления.
Недавнее связанное обсуждение было2020年-- ЛОЖЬ!
Хорошо, студенты усвоили это? Обязательно держите глаза открытыми!
конец
я春哥.
Я люблюvue.js , ElementUI , Element PlusЧто касается стека родственных технологий, то моя цель — поделиться с вами наиболее практичными и полезными моментами знаний, надеюсь, каждый сможет пораньше уйти с работы, быстро закончить работу и успокоиться.
ты сможешьНаггетсПодписывайтесь на меня:春哥的梦想是摸鱼, также доступный вНет публикинайди меня в:前端要摸鱼.
Надеюсь, вы все станете сильнее в 2022 году.