报告:将 npm 库集成到 Node.js 应用中的危险性被夸大

微信扫一扫,分享到朋友圈

报告:将 npm 库集成到 Node.js 应用中的危险性被夸大

受一些负面事例的影响,一直以来,通过 Node Package Manager(npm)提供的 JavaScript 软件包的安全性总是备受质疑。近日,几位隶属于 IEEE 的计算机科学家则发布了一篇 论文 表示,npm 软件包其实并不像大家所说的那样具有风险。

Mahmoud Alfadel 等人在联合发布的一篇名为 “On the Threat of npm Vulnerable Dependencies in Node.js Applications “的中论文指出,事实上,将 npm 库集成到 Node.js 应用中的危险性被明显夸大了。

“软件漏洞对我们每天依赖的软件系统有很大的负面影响。关于软件漏洞的报告也总是描绘出一副严峻的图景,有些报告显示,有 83% 的组织依赖于易受攻击的软件。但是,我们的经验使我们相信,从总体上看,这些软件漏洞的影响可能比所报告的要小。”

为了更好地了解 Node.js 应用中使用的 npm 漏洞包的威胁,该团队分析了 6673 个活跃的、成熟的使用 Node.js 的开源应用。然后发现,安全状况并没有安全厂商所说的那么糟糕。 npm 包中存在很多漏洞,但大多数并不严重。

研究结果表明,虽然 67.93% 的受检应用程序至少依赖于一个易受攻击的软件包,但这些受影响的应用程序中 94.91% 的易受攻击软件包被归类为具有低威胁性。

同时,他们还发现,在少数具有高度威胁依赖性的应用中(3.03%), 绝大多数(90.8%)的高威胁依赖项漏洞是由应用程序缺乏更新才引起的 。即,真正的问题不是漏洞的存在。易受攻击的依赖项具有可用的漏洞修复程序,但应用程序未更新到较新版本(更安全)的易受攻击性依赖项。

因此,论文指出,这里的错误应该归咎于应用开发者,而不是包维护者;因为他们没有将应用的依赖关系更新到最新的、最安全的版本。其总结称,这一研究的主要含义是,应用开发者需要认真对待从他们的依赖关系推送的更新,或者至少积极跟踪他们的依赖关系,因为这些会导致非常严重的影响。

该团队在应用程序生命周期的不同阶段验证了其研究结果,发现结论仍然成立。他们认为,当涉及到软件漏洞时,事情可能并不像看起来那么糟糕,考虑漏洞威胁才是关键。

完整论文: https://arxiv.org/pdf/2009.09019.pdf

微信扫一扫,分享到朋友圈

报告:将 npm 库集成到 Node.js 应用中的危险性被夸大

如何让你的 Express 飞起来

上一篇

靠这些秋招秘笈,齐姐的学妹今年已经拿到了 8 个offer!

下一篇

你也可能喜欢

报告:将 npm 库集成到 Node.js 应用中的危险性被夸大

长按储存图像,分享给朋友