JS 安全策略_js安全策略

这期介绍一些 JS 技术栈中常用到的安全策略；都是老生常谈的策略，大家可以顺道自测一下。

依赖审计

依赖审计其实就是利用 npm 或是 yarn 自带的一个 audit 命令检测 node_module 里存在的一些具有安全隐患的依赖项。我习惯用yarn audit, 所以给大家放了张自己博客的 yarn 审计结果。这里显示：一个叫 trim 的包太老了，有很高的安全风险。

有风险的依赖应该尽快解决。有些开发人员会因为“客户环境一年才更新一次，所以不心急”这种 naive 的理由忽视安全审计，这是违背开发常识的行为——依赖问题一旦堆积将很难修复。

跳回正题，生产环境中我们不大可能频繁使用手工 audit 的方式，通常的做法是：在 CI 中加入yarn audit 这一步；如果识别到漏洞，立马告警——发消息到工作群里，并更新相关依赖项。

如果大家使用 github 开发的话，它提供了一个叫 Dependabot 的机器人，：该机器人会帮你自动检测依赖并报告风险；一定设置后，它还能自动提交 PR 修复相关漏洞。

启动次要版本和补丁更新

上文提到依靠 CI 来提醒我们更新依赖，这相对来说比较被动；很多三方库会频繁地通过升级次要版本或是打补丁的形式来快速修复一些安全隐患，yarn audit</