¿Hay problemas de seguridad al usar los frameworks populares (js)?

4

¿Hasta qué punto se debe confiar en web / js frameworks?

La mayoría de los marcos son de código abierto, desarrollados de forma abierta. Por lo tanto, muchas personas pueden comprometerse semi anónimamente con el proyecto. La validación humana puede ser engañada y un atacante puede cometer un código "dañino" que el programador web llama involuntariamente y usa solo la capa de API más abstracta.

¿Qué tan realista es este escenario? ¿Y qué tan dañino podría ser tal código?

Además, Google y Facebook iniciaron Angular y React y tienen un estricto proceso de revisión. Ahora estoy analizando el marco desarrollado por Alibaba y (en su mayor parte) la comunidad de código abierto de China.

Teniendo en cuenta la mala reputación de los productos de TI chinos, ¿hay más motivos para preocuparse? ¿O esto es algo que los medios / políticos presionan?

    
pregunta zapnuk 11.07.2018 - 23:46
fuente

3 respuestas

1

Mi opinión personal: los proyectos web / js generalmente no son confiables, ya que el ecosistema es excepcionalmente débil cuando se trata de la seguridad de la cadena de suministro. Dicho esto, no me preocuparía demasiado la gran biblioteca de código abierto producida por Alibaba que se usa ampliamente. Estaría más preocupado por los proyectos de pequeños nodos profundamente enredados en el gráfico de dependencia.

Las inquietudes acerca de la TI china están en productos en los que la visibilidad, y mucho menos el análisis de seguridad, en el producto final o el proceso de producción es significativamente más difícil que en áreas de código abierto como chips, hardware y algoritmos.

    
respondido por el Jonah Benton 12.07.2018 - 14:55
fuente
0

Es altamente improbable que ocurra en proyectos populares, aunque es posible .

Como Siddharth señaló en su respuesta , los colaboradores y revisores principales analizarán el código antes de fusionar la solicitud de extracción . Incluso si pasa la revisión y se fusiona, hay un marco de tiempo antes de que se publique al público.

La mayoría de los marcos populares tienen un calendario de lanzamiento. No fusionan cambio hoy y lo lanzan mañana. Es muy probable que cualquier brecha de seguridad permanezca inadvertida durante este período de tiempo.

    
respondido por el Kolappan Nathan 12.07.2018 - 08:46
fuente
0

El escenario que mencionó es ciertamente posible pero es muy poco probable en cualquier proyecto de fuente abierta grande o serio o en proyectos respaldados por buenas organizaciones. Es cierto que el colaborador experto puede incluir algún código malicioso en su RP, pero es responsabilidad del contribuyente / revisores central analizarlo exhaustivamente antes de fusionarse. Tener un proceso de lanzamiento bien estructurado con las pruebas beta de compilación nocturna ayuda mucho.

Pero sí, nunca se puede estar seguro y es por eso que las empresas tienden a evitar muchas cosas de código abierto. Solo usan los que están muy establecidos o respaldados por una corporación.

Actualizar: Ejemplo reciente enlace

    
respondido por el Siddharth Shishulkar 12.07.2018 - 07:10
fuente

Lea otras preguntas en las etiquetas