Vue 涉及國(guó)家安全漏洞?尤雨溪親自回應
兩(liǎng)張來源不明的截圖今日在業内被(bèi)廣泛傳播,其内容是國(guó)家有關部門要求境内黨政機關和重要企事(shì)業單位對(duì)兩(liǎng)款開(kāi)源項目 SonarQube 和 Vue.js 的使用情況進(jìn)行組織排查,重點是政府服務平台。原因是有關部門通報境外黑客正在組織利用 SonarQube 和 Vue.js 對(duì)上述單位實施網絡攻擊探測。
Vue.js 創始人尤雨溪獲悉此事(shì)後(hòu),迅速進(jìn)行了回應,他表示 Vue 對(duì)于安全問題十分重視,但他們近期并沒(méi)有收到漏洞報告。而且截圖中提到的漏洞是純粹的後(hòu)端 API 鑒權漏洞,跟前端和 Vue 沒(méi)有任何關系。除此之外,他們沒(méi)有找到任何關于 Vue 的漏洞披露。公開(kāi)的 CVE 數據庫中目前也沒(méi)有任何針對(duì) Vue.js 本身的漏洞。而且 Vue 作爲開(kāi)源項目,又是以 JavaScript 源碼形式發(fā)布的前端項目,每一行代碼都(dōu)公開(kāi)接受任何安全審計。Vue 2 發(fā)布至今已經(jīng) 5 年多,在全球業界被(bèi)廣泛使用,期間從未有被(bèi)發(fā)現過(guò)真正意義上的安全漏洞。
尤雨溪在回應中指出“前端框架無法被(bèi)黑客用于滲透”,解釋了 XSS 攻擊手段,同時(shí)對(duì)過(guò)往關于 Vue.js 的一些“漏洞”報告也進(jìn)行了說(shuō)明——主要原因是開(kāi)發(fā)者將(jiāng)用戶上傳的任意 HTML 内容當作 Vue 模版或是 v-html 數據使用。而這(zhè)種(zhǒng)做法無論是否使用了 Vue 都(dōu)會(huì)導緻 XSS。
最後(hòu)尤雨溪說(shuō)道(dào),Vue 本身并不存在任何安全性問題。也因此,他們對(duì)于 Vue 被(bèi)列入排查感到很困惑,如果知道(dào)詳情或是漏洞細節的朋友,可發(fā)郵件到 security@vuejs.org 通知 Vue.js 團隊。
根據在網上的公開(kāi)信息,近期能(néng)找到的是 2021 年 11 月關于 SonarQube 漏洞的報道(dào):
網傳 SonarQube 平台漏洞被(bèi)利用,大量源碼洩露