Web网站充斥着存在漏洞的过期JavaScript库

网站中充满了存在漏洞的过时 JavaScript 库。因此，有必要维护最新版本的第三方软件库依赖项，才能从安全更新中受益。然而最近的一项研究表明，Alexa 排名前 75,000 个网站中，37% 的网站至少存在一个漏洞，近 10% 的网站至少存在两个漏洞。例如，导入 jQuery 软件库的网站中有 36.7% 使用了易受攻击的版本；使用 Angular 的网站中有 40.1% 使用了有漏洞的版本，导入的 Handlebars 和 YUI 3 超过 85% 的网站使用了有漏洞的版本。更令人震惊的是，Alexa 排名前 500 的网站中有 26% 使用易受攻击的软件库。

美国东北大学 Tobias Lauinger、Abdelberi Chaaban 等人领导的研究团队根据 Bower 和 Wappalyzer 的统计信息创建了全部 72 个使用最广泛的开源软件库的列表，然后着手识别被分析网站上使用的软件。使用了哪些库。此外，研究人员还创建了一个 Chrome 扩展程序，可以创建一种网站因果树。该树有助于显示导入特定软件库的原因，无论是直接包含还是从广告、跟踪或社交媒体代码间接传递。该研究分析了超过 133,000 个网站，其中包括 Alexa 排名前 75,000 个的网站以及从 .com 域名中随机选择的 75,000 个其他网站。此站点选择方法有助于将高流量站点与其他流量较少的站点进行比较，以获得共同的结果。

除了上面列出的 37% 的网站容易受到攻击之外，研究还得出了以下值得注意的结果：

• 总体来说，网站使用的第三方软件库版本过期的情况惊讶。对于 Alexa 排名前 75,000 个的网站，活动软件存储库与最新版本之间的平均延迟为 1,177 天（超过三年）。
• 易受攻击的软件库的问题通常是由广告、跟踪或社交媒体小部件等外部组件引起的。
• 另一个风险因素来自软件库的重复包含，这为未定义的漏洞行为提供了空间。

研究得出的结论是，这种现状很难纠正。这是由于广泛使用的软件库普遍缺乏向后兼容的安全补丁，以及 JavaScript 生态系统的组织方式，其中：

…没有可靠的漏洞数据库，没有由软件维护的安全邮件列表图书馆供应商，并且没有发出任何通知。有关安全问题的详细信息很少或根本没有，并且通常很难确定软件库的哪个版本受到特定报告的漏洞的影响。

话虽这么说，这项研究绝对是朝着正确方向迈出的第一步，值得任何当前对 JavaScript 开发感兴趣的开发人员阅读。

查看英文原文： 研究表明网络上充斥着过时且易受攻击的 JavaScript 库

---