2024年尤雨溪亲自回应Vue，面试阿里P7岗

最后

正值招聘旺季，很多小伙伴都询问我有没有前端方面的面试题！

开源分享：【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】

开源软件安全问题不应被忽视

当今，开源软件已经成为软件世界的重要组成部分，根据 Gartner 统计，99% 的组织在其 IT 系统中使用了开源软件。Gartner 还表示，现代软件大多数是被“组装”出来的，不是被“开发”出来的。那么，与企业自主编写的源代码相同，开源软件同样位于软件供应链的源头。从源头到交付，每个环节都可能会引入供应链安全风险从而遭受攻击，上游环节的安全问题会传递到下游环节并被放大。

有些人认为开源软件处于“众目睽睽”之下，漏洞问题就不会太严重。但实际上，开源软件的安全缺陷非常密集。奇安信《2021 中国软件供应链安全分析报告》显示，2020 年全年，奇安信代码安全实验室对 1364 个开源软件源代码进行了安全缺陷检测，代码总量为 124296804 行，共发现安全缺陷 1859129 个，其中高危缺陷 117738 个，整体缺陷密度为 14.96 个 / 千行，高危缺陷密度为 0.95 个 / 千行。并且，开源软件之间的关联依赖，导致开源软件的漏洞管理非常复杂。

这也意味着在开源软件中，约每 1000 行代码里面就有一个高危软件缺陷。

在 InfoQ 之前针对开源安全的采访中，奇安信表示，漏洞实质是“被利用的网络缺陷”，缺陷是天生的，但并非每个缺陷都会被利用。逐利、好奇是人的天性，发现缺陷并利用它，漏洞就产生了。“因此，缺陷是天生的，漏洞是不可避免的，网络攻击也是必然的。无论是前端还是后端，只要有代码存在，就会出现漏洞。”

奇安信代码安全事业部总经理黄永刚也在之前的采访中表示：“安全开始左移，大家开始重视源头上的安全工作。开源软件是软件开发的原材料，是我们进行信息系统开发和建设要把住的第一道安全关口。”

在软件开发上，无论是技术方面，还是流程和管理方面，任何一点疏忽都会导致开源软件出现安全问题。具体说来，黄永刚总结了三个方面的原因：

1. 开源软件开发者自身的技术能力和安全开发知识存在问题，导致开发的代码中有安全缺陷；

2. 大多数开源项目的开发缺少 SDL（安全开发生命周期）的流程和工具。并且，很多开源项目能使用的资源很有限，缺乏专业的代码安全分析工具，而大部分专业的代码安全分析工具都是收费的，价格昂贵；

3. 攻击者对开源生态的攻击，比如向开源库中注入恶意代码、向包管理器仓库投放恶意组件等。

五点安全建议

如何提高开源软件的安全性？黄永刚认为，从技术上，开源项目需要更系统地引入保障应用安全的流程、方法和工具，比如基于 SDL 的流程和理念管理开源项目的开发过程，并对开源项目开发者进行安全开发知识的普及。其次，使用源代码静态分析、动态安全测试、交互式安全测试等工具，并对开源项目开发者提交的代码进行全面的安全测试等。

针对软件开发者和企业，黄永刚建议从引入控制、资产梳理、风险识别、漏洞告警和合理修复五个方面加强开源软件的安全治理。

1. 引入控制。企业应规范开源软件的引入流程，建立开源软件安全引入和退出机制。同时，对开源软件的引入需要加入安全评估因素，不仅需要评估项目团队引入的开源软件是否存在公开的漏洞，是否存在开源法律风险，而且企业应进行完整性验证，开源软件是否来自官方，避免使用被篡改的开源软件。

2. 资产梳理。无论是软件开发者，还是企业，它们在软件开发过程中会引入大量开源软件。然而，企业的安全管理者和开发管理者常常不清楚自身的信息系统到底引入多少开源软件，引入了哪些开源软件。开源软件有着层层嵌套的依赖关系，软件开发者或企业很难通过人工方式进行梳理。因此，建议使用专业的自动化工具识别软件系统中含有哪些开源软件以及开源软件之间的关联关系，形成企业开源软件可视化资产清单。

3. 风险识别。软件中使用的开源软件可能存在已知漏洞，且这些开源软件背后调用或依赖的其他开源软件也可能存在已知安全漏洞。在软件开发过程中，企业应及时发现存在漏洞的开源软件版本并进行升级。

4. 漏洞告警。在软件运行阶段，企业应监控开源软件漏洞情报信息，及时发现开源软件的最新漏洞信息，并进行应急响应。

5. 合理修复。绝大多数的开源软件是通过版本更新实现漏洞修复的。对于不能通过升级新版本或打补丁来修复漏洞，企业应引入专业的漏洞研究队伍，定制漏洞修复方案。

作者 | Tina、万佳

转自 | InfoQ

• 完 -

推荐阅读

Vue 3 将成为新的默认版本，特别提醒注意这些~

从 16 个方向逐步搭建基于 Vue3 的前端架构

尤雨溪回应：为什么 Vue 在国际上越来越没影响力？

每日分享前端干货，欢迎关注！

1. 回复「小抄」，领取Vue、JavaScript 和 WebComponent 小抄 PDF

2. 回复「Vue脑图」获取 Vue 相关脑图

3. 回复「思维图」获取 JavaScript 相关思维图

4. 回复「简历」获取简历制作建议

Vue 编码基础

2.1.1. 组件规范

2.1.2. 模板中使用简单的表达式

2.1.3 指令都使用缩写形式

2.1.4 标签顺序保持一致

2.1.5 必须为 v-for 设置键值 key

2.1.6 v-show 与 v-if 选择

2.1.7 script 标签内部结构顺序

2.1.8 Vue Router 规范

Vue 项目目录规范

2.2.1 基础

2.2.2 使用 Vue-cli 脚手架

2.2.3 目录说明

2.2.4注释说明

2.2.5 其他

开源分享：【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】

析+核心总结学习笔记+真实项目实战+最新讲解视频】](https://bbs.youkuaiyun.com/forums/4304bb5a486d4c3ab8389e65ecb71ac0)**