¿Hay problemas de seguridad al usar los frameworks populares (js)?

Mi opinión personal: los proyectos web / js generalmente no son confiables, ya que el ecosistema es excepcionalmente débil cuando se trata de la seguridad de la cadena de suministro. Dicho esto, no me preocuparía demasiado la gran biblioteca de código abierto producida por Alibaba que se usa ampliamente. Estaría más preocupado por los proyectos de pequeños nodos profundamente enredados en el gráfico de dependencia.

Las inquietudes acerca de la TI china están en productos en los que la visibilidad, y mucho menos el análisis de seguridad, en el producto final o el proceso de producción es significativamente más difícil que en áreas de código abierto como chips, hardware y algoritmos.

Es altamente improbable que ocurra en proyectos populares, aunque es posible .

Como Siddharth señaló en su respuesta , los colaboradores y revisores principales analizarán el código antes de fusionar la solicitud de extracción . Incluso si pasa la revisión y se fusiona, hay un marco de tiempo antes de que se publique al público.

La mayoría de los marcos populares tienen un calendario de lanzamiento. No fusionan cambio hoy y lo lanzan mañana. Es muy probable que cualquier brecha de seguridad permanezca inadvertida durante este período de tiempo.

El escenario que mencionó es ciertamente posible pero es muy poco probable en cualquier proyecto de fuente abierta grande o serio o en proyectos respaldados por buenas organizaciones. Es cierto que el colaborador experto puede incluir algún código malicioso en su RP, pero es responsabilidad del contribuyente / revisores central analizarlo exhaustivamente antes de fusionarse. Tener un proceso de lanzamiento bien estructurado con las pruebas beta de compilación nocturna ayuda mucho.

Pero sí, nunca se puede estar seguro y es por eso que las empresas tienden a evitar muchas cosas de código abierto. Solo usan los que están muy establecidos o respaldados por una corporación.

Actualizar: Ejemplo reciente enlace