兩(liǎng)張來源不明的截圖今日在業内被廣泛傳播，其内容是國(guó)家有關部門要求境内黨政機關和重要企事(shì)業單位對(duì)兩(liǎng)款開(kāi)源項目 SonarQube 和 Vue.js 的使用情況進(jìn)行組織排查，重點是政府服務平台。原因是有關部門通報境外黑客正在組織利用 SonarQube 和 Vue.js 對(duì)上述單位實施網絡攻擊探測。

Vue.js 創始人尤雨溪獲悉此事(shì)後(hòu)，迅速進(jìn)行了回應，他表示 Vue 對(duì)于安全問題十分重視，但他們近期并沒(méi)有收到漏洞報告。而且截圖中提到的漏洞是純粹的後(hòu)端 API 鑒權漏洞，跟前端和 Vue 沒(méi)有任何關系。除此之外，他們沒(méi)有找到任何關于 Vue 的漏洞披露。公開(kāi)的 CVE 數據庫中目前也沒(méi)有任何針對(duì) Vue.js 本身的漏洞。而且 Vue 作爲開(kāi)源項目，又是以 JavaScript 源碼形式發(fā)布的前端項目，每一行代碼都(dōu)公開(kāi)接受任何安全審計。Vue 2 發(fā)布至今已經(jīng) 5 年多，在全球業界被廣泛使用，期間從未有被發(fā)現過(guò)真正意義上的安全漏洞。

尤雨溪在回應中指出“前端框架無法被黑客用于滲透”，解釋了 XSS 攻擊手段，同時(shí)對(duì)過(guò)往關于 Vue.js 的一些“漏洞”報告也進(jìn)行了說(shuō)明——主要原因是開(kāi)發(fā)者將(jiāng)用戶上傳的任意 HTML 内容當作 Vue 模版或是 v-html 數據使用。而這(zhè)種(zhǒng)做法無論是否使用了 Vue 都(dōu)會(huì)導緻 XSS。

最後(hòu)尤雨溪說(shuō)道(dào)，Vue 本身并不存在任何安全性問題。也因此，他們對(duì)于 Vue 被列入排查感到很困惑，如果知道(dào)詳情或是漏洞細節的朋友，可發(fā)郵件到 security@vuejs.org 通知 Vue.js 團隊。

根據在網上的公開(kāi)信息，近期能(néng)找到的是 2021 年 11 月關于 SonarQube 漏洞的報道(dào)：

• 網傳 SonarQube 平台漏洞被利用，大量源碼洩露