vue有高危漏洞👻？尤雨溪亲自辟谣

相关文章推荐

机灵的木耳 · 从任何Linux命令输出中省略第一行-腾讯云 ...· 6 月前 ·

性感的灯泡 · Hibernate Recursive ...· 12 月前 ·

爱健身的木瓜 · makefile ...· 1 年前 ·

重感情的丝瓜 · Selenium只从当前父级获取子元素。-腾 ...· 1 年前 ·

笑点低的肉夹馍 · AttributeConverter属性转换 ...· 1 年前 ·

SonarQube 和 Vue.js 这俩东西有漏洞，黑客正在利用它们搞事。快别用了！实在没法替换，也得打补丁。

许多不明真相的同学被这条消息吓得不轻，以为自己又要熬夜升级系统了。

但对网络安全稍有了解的同学，很容易就能发现这段话中让人感到困惑的地方。


    Vue.js

作为一款渐进式前端框架，近期并没有被暴出什么确切的安全漏洞，怎么就突然成为了“黑客组织”的工具？一个前端框架，能直接具备多严重的安全漏洞？（暂时只能想到

xss

）


    Vue.js

知名前端研发， Vue.js 之父，某乎大V，掘金社区著名用户 尤雨溪 ，在2022年1月25日，于某乎上发布文章《关于近日涉及 SonarQube 和 Vue 的漏洞通知》进行辟谣。

文章很长，看结论即可：

一句话总结： 你只要正常用， Vue.js 安全的很！

三、如何识别类似谣言？

网络安全已经成为近年来互联网上“头等重要”的大事，相信大家对于前段时间 log4j 造成的安全风波记忆犹新。

更近一点还有 faker.js 被维护者注入恶意代码，也闹得满城风雨。

因此很多同学看到“这类新闻”不由得浑身一震，丧失了平时的冷静。

那么，作为一名成熟的软件工程师，我们要怎么防止被骗呢？

我总结了一下，主要有这三步：

去国家信息安全漏洞库作为国家层面最为权威的漏洞发布平台，如果这上面没有信息，那极有可能 这是假新闻 。按图中方法可以快速过滤寻找相关漏洞。
以


    Vue.js

相关谣言搜索结果为例：

挨个点进去瞄一眼，根本没有 vue.js 本体存在漏洞的说法。

某歌/某度 搜一下，这么大的事情，没可能“社交聊天工具”的传播速度比“某歌/某度”更广泛。

搜索结果静悄悄，完全没有相关信息——假！


    github/issues

走一遭！如果出现类似这种问题，相关仓库的


    issues

里一定会有人要求维护者立刻进行紧急更新，并提供升级方法的。

最近一条相关讨论是 2020年 的 ——假！

OK，同学们学会了吗？一定要擦亮眼睛哟！

我是 春哥 。
我热爱 vue.js , ElementUI , Element Plus 相关技术栈，我的目标是给大家分享最实用、最有用的知识点，希望大家都可以早早下班，并可以飞速完成工作，淡定摸鱼🐟。

你可以在掘金关注我： 春哥的梦想是摸鱼 ，也可以在 公众号 里找到我： 前端要摸鱼 。
希望大家在 2022 变得更强。