两张不明来源的截图,今日在业界广为流传。内容是国家有关部门要求国内党政机关和重要企事业单位对使用SonarQube和Vue.js这两个开源项目进行组织调研,重点针对政务服务平台。原因是有关部门反映,境外黑客正在组织利用SonarQube和Vue.js对上述单位实施网络攻击检测。Vue.js的创始人游玉玺得知此事后迅速做出回应。他表示,Vue非常重视安全问题,但他们最近没有收到任何漏洞报告。而且截图中提到的漏洞纯属后端API认证漏洞,与前端和Vue.js无关。除此之外,他们没有发现任何关于Vue的漏洞披露。Vue.js本身的公共CVE数据库中目前没有漏洞。而且,作为一个开源项目,Vue也是一个以JavaScript源码形式发布的前端项目。每行代码都对任何安全审计开放。Vue2发布至今已有5年多的时间,在全球业界得到了广泛的应用。在此期间,没有发现真正的安全漏洞。尤雨熙在回应中指出“前端框架不能被黑客利用渗透”,解释了XSS攻击方式,也解释了以往关于Vue.js的一些“漏洞”报告——主要原因是开发者将用户上传的任何HTML内容作为Vue模板或v-html数据。而且无论是否使用Vue,这种做法都会导致XSS。最后游雨溪表示,Vue本身不存在任何安全问题。正因为如此,他们对Vue被纳入调查感到非常困惑。如果您知道详细信息或漏洞详情,可以发送邮件至security@vuejs.org通知Vue.js团队。本文转自OSCHINA文章标题:Vue涉及国家安全漏洞?游玉玺亲自回复本文地址:https://www.oschina.net/news/180177
