防止对 JavaScript 生态系统的供应链攻击-js教程-PHP中文网

首页

web前端

js教程

防止对 JavaScript 生态系统的供应链攻击

Patricia Arquette

Oct 25, 2024 pm 01:19 PM

Preventing supply-chain attacks to the JavaScript ecosystem

供应链攻击是 JavaScript 生态系统的大问题。在这篇短文中，我将概述一个简单的安全措施，可以由所有 JavaScript 运行时（浏览器内和浏览器外）实现。这将防止当今困扰 JavaScript 生态系统的大多数供应链攻击。

问题：权限继承

这是最近发生的网站被黑客攻击的事件：

研究人员将 Polyfill 供应链攻击与庞大的模仿赌博网站网络联系起来

问题的核心是JavaScript 模块继承了调用它们的应用程序或模块的权限。这对于浏览器内运行时和浏览器外运行时都是一个问题。

应用程序所依赖的模块版本可能会在应用程序作者不知情的情况下发生更改，这一事实使问题变得更加复杂。因此，即使所有依赖的代码都已经被彻底审查（这本身就是一个巨大的努力），如果依赖版本没有被锁定，这个努力就会被浪费。

为什么不锁定版本并使用基于 semver 的依赖项？嗯，这主要是因为如果模块发布者发布了错误修复，那么最好使用修复的代码。这也是 esm.sh 等 JavaScript CDN 支持 semvers 的重要原因之一。

？网站如何受到影响

网络浏览器是沙盒执行环境，因此网站导入的第三方 JavaScript 模块 (3JM) 不会对最终用户的设备造成任何损害。

尽管如此，3JM 可以在未经网站同意的情况下使用设备的计算资源并发出网络请求进行比特币挖矿等。

？脱离浏览器的 JavaScript 应用程序会受到怎样的影响

一些浏览器外运行时（例如 Deno）确实实施了限制 JavaScript/TypeScript 应用程序权限的措施。但由于以下原因，这些措施还不够：

即使强制执行诸如 Deno 之类的权限系统，它们仍然允许 JS 模块不受限制地继承调用者的权限。这意味着，如果应用程序具有完全写入权限，则不应访问除计算资源之外的任何资源的电子邮件地址验证器可以在操作系统用户不知情的情况下删除用户文件。
应用程序通常以操作系统用户的完全权限运行。例如，对于在 MDRB 等工具下执行的代码，目前无法限制正在运行的代码的权限。

目前的解决方案

目前，安全团队已经建立了自动化流程，用于查找在 NPM 等知名注册表上发布的模块中的漏洞。这种安全措施有几个缺点：

扫描已发布的所有已知模块的所有版本非常耗费资源。
无法保证所有可用的模块都已被扫描。

？解决方案：每个模块的权限

为了解决这些问题，我提出了一个新的每模块权限系统，该系统向后兼容 JS/TS 应用程序当前的工作方式。

这涉及一个新的可选权限配置，每个应用程序和模块都可以在其 deno.json / deno.jsonc / package.json 文件中声明。权限有 2 部分：

requests.self — 这是应用程序或模块声明它及其依赖项所需的权限的地方。
requests.imports — 这是应用程序或模块声明其同意分配给其依赖项的权限的地方。这是每个依赖项允许需要的权限的超集。

以下是 JS/TS 运行时如何使用权限：

当应用程序或模块导入模块M时，运行时会检查M的permissions.self是否在导入器对M。如果不是这种情况，导入会抛出错误（例如 PermissionError）。

权限的值将是这样的：

{
  "self": {
    "read":  {"allow": [], "deny": []},
    "write": {"allow": [], "deny": []},
    "net":   {"allow": [], "deny": []},
    "env":   {"allow": [], "deny": []},
    "run":   {"allow": [], "deny": []}
  },

  "imports": {
    "jsr:@org/module@1.0.0": {
      "read":  {"allow": [], "deny": []},
      "write": {"allow": [], "deny": []},
      "net":   {"allow": [], "deny": []},
      "env":   {"allow": [], "deny": []},
      "run":   {"allow": [], "deny": []}
    },
    "https://cdn.example/org/module@1.0.0": {
      "read":  {"allow": [], "deny": []},
      "write": {"allow": [], "deny": []},
      "net":   {"allow": [], "deny": []},
      "env":   {"allow": [], "deny": []},
      "run":   {"allow": [], "deny": []}
    },
    "[default]": {
      "read":  {"allow": [], "deny": []},
      "write": {"allow": [], "deny": []},
      "net":   {"allow": [], "deny": []},
      "env":   {"allow": [], "deny": []},
      "run":   {"allow": [], "deny": []}
    }
  }
}

与目前的解决方案相比，我提出的解决方案有几个优点：

轻量级 — 发布的模块不需要扫描。
彻底 — 权限是在运行时强制执行的，因此如果使用正确的 JS/TS 引擎，那么即使是未知的模块也不会被漏掉。

这看起来非常简单。 JS/TS 语言无需修改。如果没有权限配置，那么我们会回到当前的情况，即应用程序及其依赖关系图都具有命令行参数提供的权限 ∎

以上是防止对 JavaScript 生态系统的供应链攻击的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

超越浏览器：现实世界中的JavaScriptApr 12, 2025 am 12:06 AM

JavaScript在现实世界中的应用包括服务器端编程、移动应用开发和物联网控制：1.通过Node.js实现服务器端编程，适用于高并发请求处理。2.通过ReactNative进行移动应用开发，支持跨平台部署。3.通过Johnny-Five库用于物联网设备控制，适用于硬件交互。

使用Next.js（后端集成）构建多租户SaaS应用程序Apr 11, 2025 am 08:23 AM

我使用您的日常技术工具构建了功能性的多租户SaaS应用程序（一个Edtech应用程序），您可以做同样的事情。首先，什么是多租户SaaS应用程序？多租户SaaS应用程序可让您从唱歌中为多个客户提供服务

如何使用Next.js（前端集成）构建多租户SaaS应用程序Apr 11, 2025 am 08:22 AM

本文展示了与许可证确保的后端的前端集成，并使用Next.js构建功能性Edtech SaaS应用程序。前端获取用户权限以控制UI的可见性并确保API要求遵守角色库

JavaScript：探索网络语言的多功能性Apr 11, 2025 am 12:01 AM

JavaScript是现代Web开发的核心语言，因其多样性和灵活性而广泛应用。1)前端开发：通过DOM操作和现代框架（如React、Vue.js、Angular）构建动态网页和单页面应用。2)服务器端开发：Node.js利用非阻塞I/O模型处理高并发和实时应用。3)移动和桌面应用开发：通过ReactNative和Electron实现跨平台开发，提高开发效率。

JavaScript的演变：当前的趋势和未来前景Apr 10, 2025 am 09:33 AM

JavaScript的最新趋势包括TypeScript的崛起、现代框架和库的流行以及WebAssembly的应用。未来前景涵盖更强大的类型系统、服务器端JavaScript的发展、人工智能和机器学习的扩展以及物联网和边缘计算的潜力。

神秘的JavaScript：它的作用以及为什么重要Apr 09, 2025 am 12:07 AM

JavaScript是现代Web开发的基石，它的主要功能包括事件驱动编程、动态内容生成和异步编程。1)事件驱动编程允许网页根据用户操作动态变化。2)动态内容生成使得页面内容可以根据条件调整。3)异步编程确保用户界面不被阻塞。JavaScript广泛应用于网页交互、单页面应用和服务器端开发，极大地提升了用户体验和跨平台开发的灵活性。