IT资讯 报告:将 npm 库集成到 Node.js 应用中的危险性被夸大

waite · 2020-09-29 10:00:06 · 热度: 5

受一些负面事例的影响,一直以来,通过 Node Package Manager(npm)提供的 JavaScript 软件包的安全性总是备受质疑。近日,几位隶属于 IEEE 的计算机科学家则发布了一篇论文表示,npm 软件包其实并不像大家所说的那样具有风险。

报告:将 npm 库集成到 Node.js 应用中的危险性被夸大

Mahmoud Alfadel 等人在联合发布的一篇名为 "On the Threat of npm Vulnerable Dependencies in Node.js Applications "的中论文指出,事实上,将 npm 库集成到 Node.js 应用中的危险性被明显夸大了。

“软件漏洞对我们每天依赖的软件系统有很大的负面影响。关于软件漏洞的报告也总是描绘出一副严峻的图景,有些报告显示,有 83% 的组织依赖于易受攻击的软件。但是,我们的经验使我们相信,从总体上看,这些软件漏洞的影响可能比所报告的要小。”

为了更好地了解 Node.js 应用中使用的 npm 漏洞包的威胁,该团队分析了 6673 个活跃的、成熟的使用 Node.js 的开源应用。然后发现,安全状况并没有安全厂商所说的那么糟糕。npm 包中存在很多漏洞,但大多数并不严重。

研究结果表明,虽然 67.93% 的受检应用程序至少依赖于一个易受攻击的软件包,但这些受影响的应用程序中 94.91% 的易受攻击软件包被归类为具有低威胁性。

同时,他们还发现,在少数具有高度威胁依赖性的应用中(3.03%),绝大多数(90.8%)的高威胁依赖项漏洞是由应用程序缺乏更新才引起的。即,真正的问题不是漏洞的存在。易受攻击的依赖项具有可用的漏洞修复程序,但应用程序未更新到较新版本(更安全)的易受攻击性依赖项。

因此,论文指出,这里的错误应该归咎于应用开发者,而不是包维护者;因为他们没有将应用的依赖关系更新到最新的、最安全的版本。其总结称,这一研究的主要含义是,应用开发者需要认真对待从他们的依赖关系推送的更新,或者至少积极跟踪他们的依赖关系,因为这些会导致非常严重的影响。

该团队在应用程序生命周期的不同阶段验证了其研究结果,发现结论仍然成立。他们认为,当涉及到软件漏洞时,事情可能并不像看起来那么糟糕,考虑漏洞威胁才是关键。

完整论文:https://arxiv.org/pdf/2009.09019.pdf

猜你喜欢:
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册