維護(hù)是一項(xiàng)費(fèi)力不討好的任務(wù)，但它是保持互聯(lián)網(wǎng)運(yùn)行的必要條件。東北大學(xué)的研究人員發(fā)現(xiàn)了JavaScript庫(kù)中令人震驚的漏洞，使你的代碼對(duì)惡意軟件開放。

保養(yǎng)并不性感。創(chuàng)造一些新的東西總是比維護(hù)遺留代碼更酷。但這是一項(xiàng)費(fèi)力不討好卻又必要的任務(wù)。東北大學(xué)(Northeastern)最近的一篇論文指出，缺乏維護(hù)可能是一種比你想象的更嚴(yán)重的安全缺陷。

每個(gè)人都經(jīng)歷過一次不可原諒的系統(tǒng)崩潰。它會(huì)徹底摧毀一切，就像你的作品從未存在過一樣。這是一種普遍的體驗(yàn)，幾乎是陳詞濫調(diào)了。盡管我們意識(shí)到自己的弱點(diǎn)，但仍然有這樣一種想法，即互聯(lián)網(wǎng)本身將永遠(yuǎn)存在。(不過，最近的網(wǎng)絡(luò)中斷可能會(huì)讓這種想法偃息息散。)

網(wǎng)絡(luò)的復(fù)雜性是不可想象的，但它遠(yuǎn)沒有我們?cè)敢獬姓J(rèn)的那么穩(wěn)定。它不斷地被新奇的事物沖刷，而且它都是建在沙子上的。互聯(lián)網(wǎng)不是圖書館。互聯(lián)網(wǎng)不是一個(gè)資源庫(kù)。用互聯(lián)網(wǎng)檔案館的檔案管理員和歷史學(xué)家杰森·斯科特(Jason Scott)的話來說，“當(dāng)它消失時(shí)，它真的消失了?！?/span>

亞歷山德拉圖書館是古代世界的奇跡，也是哲學(xué)家和古代科學(xué)家分享信息和研究的中心。蓋倫寫道，所有?？吭诟劭诘拇欢急仨毎阉鼈兊臅唤o抄寫員抄寫;原始卷軸留在圖書館，副本被分發(fā)給原始所有者。它收藏了世界上最大的關(guān)于哲學(xué)、文學(xué)、技術(shù)、數(shù)學(xué)和醫(yī)學(xué)的卷軸。當(dāng)它燃燒時(shí)，它就消失了。殘片至今仍存在，零星的手稿到處都是。

如果網(wǎng)絡(luò)連通，我們甚至連碎片都沒有了。

建立在沙子上的JavaScript庫(kù)

網(wǎng)站就像弗蘭肯斯坦的怪物，由數(shù)據(jù)庫(kù)后端、內(nèi)容生成引擎、多種腳本語言和客戶端代碼等組成。保護(hù)和維護(hù)它們是一場(chǎng)噩夢(mèng)，即使只是因?yàn)橐采w的空間太大。

一個(gè)特定的漏洞存在于客戶端JavaScript中。美國(guó)西北大學(xué)的研究人員發(fā)現(xiàn)，超過三分之一的網(wǎng)站至少使用了帶有已知漏洞的JavaScript庫(kù)版本。近10%的人使用兩個(gè)或更多易受攻擊的庫(kù)。

“現(xiàn)代網(wǎng)站經(jīng)常包含流行的第三方JavaScript庫(kù)，因此有可能繼承這些庫(kù)中的漏洞，”Tobias Lauinger寫道。所謂易受攻擊，它們指的是跨站點(diǎn)腳本(XSS)，它允許某人將惡意代碼插入網(wǎng)站。“如果一個(gè)JavaScript庫(kù)接受了用戶的輸入，但沒有驗(yàn)證它，XSS漏洞就可能潛入，所有使用這個(gè)庫(kù)的網(wǎng)站都可能受到攻擊?！?/span>

基于2016年5月Alexa排名前75k的爬行，Lauinger等人發(fā)現(xiàn)了一些令人震驚的事實(shí)。絕大多數(shù)的Alexa網(wǎng)站使用至少一個(gè)著名的JavaScript庫(kù)，其中最流行的是jQuery。

他們的研究發(fā)現(xiàn)，“從每個(gè)庫(kù)的角度來看，至少36.7%的jQuery、40.1%的Angular、86.6%的把手和87.3%的YUI包含使用了一個(gè)易受攻擊的版本?！备钊藫?dān)憂的是，許多網(wǎng)站仍然依賴JavaScript庫(kù)，而這些庫(kù)已經(jīng)不再被維護(hù)，比如YUI和SWFObject。

舊的庫(kù)，舊的代碼

更令人擔(dān)憂的是對(duì)陳舊JavaScript庫(kù)版本的依賴，因?yàn)樵S多服務(wù)器可能缺乏可靠的更新。在ALEXA中，每個(gè)網(wǎng)站使用的最古老的圖書館版本與該圖書館最新可用版本之間的平均滯后時(shí)間為1177天，在COM中為1476天。一些仍在積極使用的圖書館已于數(shù)年前停止發(fā)展。我并不是說舊版本不好，但是，你真的應(yīng)該依賴至少3或4年的庫(kù)依賴嗎?

這里有一些好消息;流行網(wǎng)站的漏洞最少。但是五分之一的人仍然很脆弱，這表明這個(gè)問題很普遍。

根據(jù)研究人員的說法，最令人警醒的發(fā)現(xiàn)是“實(shí)際證據(jù)表明JavaScript庫(kù)生態(tài)系統(tǒng)是復(fù)雜的、無組織的、在安全性方面相當(dāng)“特別”的。”缺乏可靠的漏洞數(shù)據(jù)庫(kù)、安全郵件列表、發(fā)布說明中有關(guān)安全問題的更新，意味著“很難確定一個(gè)庫(kù)的哪個(gè)版本受到特定的、報(bào)告的漏洞的影響”。

那么，你最近更新了你的JavaScript庫(kù)嗎?如果我是你，我會(huì)再三確認(rèn)的。