NodeInteractive 好物推薦 - The State of Node.js Security [I]

NodeInteractive 2017 剛結束沒多久,這個 Node.js 社群的年度盛會,自然會有不少好料的議程可以挖掘。這個由 Snyk 員工所分享關於 Node.js 開發時應該留意的安全性問題,就是一場相當有料的分享 ;)

The State of Node.js Security, at Node.js Interactive 2017 by Tim Kadlec [slide]

其中有不少都是老生常談了,不過身為開發者是否有時時謹記這些!?

像 XSS 原來還有用 usemap 這招 Imgur

還有 ReDoS 的範例也可能是開發者經常會忽略的

惡意軟體的問題,這也是前陣子爆出的安全性問題,npm 團隊也在第一時間著手處理並發了一篇公告來解釋,然後開始更進一步的改善,那就是前幾天剛釋出的 npm@5.5 開始支援 2fa(對這個有興趣的可以跳轉這場 npm CTO 的場子 - Keeping JavaScript Safe: Security & the npm Registry)。

只要有軟體跟網路的一天,軟體安全就是一場沒有止境的戰爭吧,除了開發者自己要小心之外,有個良好的回報、合作機制也是很有幫助(講者提到的 security.txt 也是蠻有意思的 ;),然後別忘了適時用 npm deprecate 標註已經不安全的版本號也是很有幫助的。

ps: 同場加映