Node 安全项目要进一步提升 Node.js 的安全性

为了增强 Node.js 的安全性，Node 安全项目已经默默地工作了几个月的时间。这个项目审查 Node.js 现有的模块的目标是 ，帮助“改善 Node 生态圈，增强开发人员和企业对 Node.js 领域安全性的信心。”

这个项目计划通过一个标签系统以分布式方式执行本次审查，该系统提供了处理咨询、问题以及拉动需求的骨架，这样就可以在 Node 社区的帮助下完善模块了。

Node.js 的主要安全担忧之一就是服务端 JavaScript 注入（SSJS 注入）的可能性，它类似于跨站 JavaScript 注入。Adobe 的高级安全研究员 Bryan Sullivan发表了一篇论文，在文中解释了一些运用 SSJS 注入的攻击手段，使应用程序和数据暴露在风险之下。

这里需要提一下，相比于跨站脚本攻击，利用服务端 JavaScript 注入漏洞的方式与 SQL 注入更加相似。SSJS 注入不像跨站脚本攻击那样需要以社会工程找一个中间事主，而它用随意产生的 HTTP 请求就可以直接攻击应用程序了。

有一个博客作者\0/ bish \0/，他自称自己是个安全狂热分子，他写道，开发人员需要特别注意Node.js 中的很多因素。第一个是eval 语句，“它很容易被用来进行服务端注入”。另一个是“事件驱动的单线程编程模型”，因为它，“一个简单的错误就会导致整个服务瘫痪”。他补充说，“为了安全，应该避免像隐式全局变量、with 语句、eval 语句这样的反模式 。”他也在博文中展示了一些示例，它们都是因为错误地使用了编程语言的特性而被利用的。

所以，较之其他技术Node.js 从本质上并不缺少安全性，因为上面提到的这些威胁，在其他广泛应用于服务端的语言中也同样存在。而正如Adam Baldwin 在 Modulus 公司的一次访谈中提到，这件事情的本质是提升开发人员对影响 Node 平台的安全关注的意识。

Node 安全项目致力于改变 node 社区解决安全问题的方式，它集中力量传播安全原则，审查社区开发的模块，并公布结果。

参考英文原文： Node Security Project Aims at Making Node.js More Secure

感谢夏雪对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ）或者腾讯微博（ @InfoQ ）关注我们，并与我们的编辑和其他读者朋友交流。