前端安全
背景
我们的产品通常进入客户现场之前都会有一系列的安全扫描(公司级的、客户级的),去年我们团队就解决了好几个安全问题,不过通常都是后端的方式来解决,但其实某些安全问题前端也能解,有些问题前端解更合适,这不借着重新出发的春风,往前端工程化中加了一步安全。
此篇文章收获颇多。WEB前端安全自查和加固
实操
对于安全方面的共识
- 对于第三方包的引入,必须经过
npm audit+snyk安全扫描后且经过小组内评审通过后方才能引入。 - 对于我们自己发布的包,必须去掉敏感信息。
- 每次更新了package.json之后都需要进行安全扫描。
如下图,是我们项目里我用snyk执行扫描之后报出问题的包信息。
小结
后续会把考虑把该步骤拿到流水线里去做,因为虽然大家意识层面共识了,落地的时候可能还是会有各种遗漏,所以干脆直接交给机器来做。
安全无小事,先动起来!
本文引用的内容,如有侵权请联系我删除,给您带来的不便我很抱歉。