兩張來源不明的截圖今日在業內被廣泛傳播，其內容是國家有關部門要求境內黨政機關和重要企事業單位對兩款開源項目 SonarQube 和 Vue.js 的使用情況進行組織排查，重點是政府服務平臺。原因是有關部門通報境外黑客正在組織利用 SonarQube 和 Vue.js 對上述單位實施網絡攻擊探測。

Vue.js 創始人尤雨溪獲悉此事后，迅速進行了回應，他表示 Vue 對于安全問題十分重視，但他們近期并沒有收到漏洞報告。而且截圖中提到的漏洞是純粹的后端 API 鑒權漏洞，跟前端和 Vue 沒有任何關系。除此之外，他們沒有找到任何關于 Vue 的漏洞披露。公開的 CVE 數據庫中目前也沒有任何針對 Vue.js 本身的漏洞。而且 Vue 作為開源項目，又是以 JavaScript 源碼形式發布的前端項目，每一行代碼都公開接受任何安全審計。Vue 2 發布至今已經 5 年多，在全球業界被廣泛使用，期間從未有被發現過真正意義上的安全漏洞。

尤雨溪在回應中指出“前端框架無法被黑客用于滲透”，解釋了 XSS 攻擊手段，同時對過往關于 Vue.js 的一些“漏洞”報告也進行了說明——主要原因是開發者將用戶上傳的任意 HTML 內容當作 Vue 模版或是 v-html 數據使用。而這種做法無論是否使用了 Vue 都會導致 XSS。

最后尤雨溪說道，Vue 本身并不存在任何安全性問題。也因此，他們對于 Vue 被列入排查感到很困惑，如果知道詳情或是漏洞細節的朋友，可發郵件到 security@vuejs.org 通知 Vue.js 團隊。

本文轉自OSCHINA

本文標題：Vue 涉及國家安全漏洞?尤雨溪親自回應

本文地址：https://www.oschina.net/news/180177