安全 bootstrap-sass 3.2.0.3 版本被发现藏有远程执行代码后门

mizuhashi · 2019年04月05日 · 最后由 qiumaoyuan 回复于 2019年04月08日 · 1769 次阅读
共收到 9 条回复

卧槽,怀疑攻击者盗取了维护者的 gem 发布权限,发布了一个带后门的版本。

好恐怖,赶紧检查一下自己使用的库

很久没更新,我的是 3.3.5, bootstrap-sass (3.3.5)

bootstrap-sass 3.2.0.3 还有人在用吗?

好可怕…… 幸好我早就改用 post-css 了,而且不用 bootstrap 了,而且不是用 gem 的 bootstrap 了

npm也是重灾区

tanhui2333 回复

npm 只敢在虚拟环境用,太多木马了

理论上我们要把某个第三方库引入项目的时候,我们需要:

  1. 检查它的代码质量;
  2. 检查它的文档是否完善;
  3. 观察它的活跃度;
  4. 分析是否有恶意代码;

一旦确定使用以后,还要时刻关注第三方库的更新,尤其是安全更新

事实上,受资源以及时间限制,可能大家最关注的只有2, 3步

rocLv 回复

我会把 2 和 1 的顺序倒一下。然后如果代码质量可以,3 我觉得无所谓。

不过在这之前,我更倾向于自己写,其次才考虑引入第三方库。比如说我现在后台权限管理的逻辑是自己写的。有时候发现其实大家能共用的逻辑没那么多,为了图省事反而费事。

只针对 8 楼回复,与主帖不是太相关。

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册