016-【CS253】【网络安全】【Web Security】【斯坦福大学】【中

1. 本课程介绍了Node.js项目中的安全性。

2. 介绍了一些与安全相关的术语，如CVE、CWE和CVSS。

3. 讨论了Node.js项目的安全团队和他们面临的挑战。

4. 解释了零日漏洞的概念以及它们对项目的潜在威胁。

5. 提到了一个名为hashwick的漏洞作为一个例子，说明了项目中未修复漏洞的风险。

6. Node.js实现了一系列系统API，这些API是根据自己的设计或通过实现而不是标准化的。

7. Node.js的安全问题是受到保密限制的，只有在公开披露之前才能公开讨论。

8. Node.js的安全团队试图创建一个早期访问保密计划，以便云厂商可以尽快修补和测试安全漏洞。

9. Node.js核心平台的漏洞包括缓冲区溢出攻击、拒绝服务攻击、数据泄露、远程代码执行、主机名欺骗和依赖性漏洞。

10. Node.js采用Hacker1来管理漏洞报告和漏洞赏金计划，同时参与互联网漏洞赏金计划（IBBE）。

11. 今年我们只发布了三个安全更新，比2018年的数量要少得多。

12. 我们在HackerOne上有一个漏洞报告页面，平均响应时间为一天，平均解决时间为两天。

13. Node.js项目的一个安全漏洞是由于域名被接管导致的，这是一个攻击向量，需要考虑威胁建模。

14. 有一些CVE漏洞可以在HackerOne上查看，我们列举了一些过去两年中的漏洞。

15. Node.js项目在进行安全更新时，会根据语义版本号规范进行分类，安全更新可以作为次要版本发布。

16. 在发布平台时，需要权衡稳定性、可靠性、安全性和可维护性之间的平衡。

17. 维护性对于一个由志愿者组成的团队来说非常重要，因为他们没有足够的时间来修复所有问题。

18. 当发现漏洞时，可能会选择切换默认解析器而不是修复漏洞。

19. 在供应链攻击、弱密码学和恶意第三方代码方面也存在安全隐患。

20. 开发人员体验差可能导致安全性下降，因此安全策略和流程需要与实际情况相平衡。

21. 供应链攻击是一种常见的安全威胁，几乎任何分布式生态系统都容易受到此类攻击。

22. 在使用软件包时，应始终使用最新版本，并使用工具如npm audit、Greenkeeper或Dependabot来确保软件包的安全性。

23. 沙箱化可以帮助保护代码运行环境，但过于严格的审计可能会影响开发速度。

24. 在运行代码时要注意代码运行环境的选择，选择合适的环境可以提高安全性。

25. 需要建立适当的流程和措施来保护系统免受安全威胁。