近日，美國高校安全研究團隊發布了一份關于網絡上使用JavaScript程序庫的分析報告，報告中指出在所調查的13.3萬個網站中，有37%的網站存在使用含有漏洞的JavaScript程序庫的情況，而且至少使用了1個，同時這些程序庫多是很久都未更新的老版本。

　　JavaScript作為一種高級動態程序語言，是與HTML及CSS并重的網頁前端設計標準代碼，堪稱萬維網（WWW）的三大核心技術語言之一。而JavaScript程序庫（JavaScript library）則是為了方便開發JavaScript應用而事先寫好的子程序集合，目前全球存在約10萬種程序庫。

　　據悉，該調查報告以最常見的72種開放源碼的JavaScript程序庫為標準，包括jQuery、jQuery-UI、Modernizr、Bootstrap、Yepnope、jQuery-Migrate及SWFObject等，來考察當前網站在使用和維護這些JavaScript程序庫時的情況。

　　通過建立上述72種程序庫的各版本漏洞數據庫，研究人員掃描了大約13.3萬個網站，來偵測這些網站是否安裝了含有漏洞的程序庫及其相關版本。

　　結果令人驚訝的是，有37%的網站使用了1個含漏洞的JavaScript庫版本，而有10%的網站則使用了2個甚至以上的含漏洞JavaScript庫。

　　在Alexa排行榜上的7.5萬個網站所使用的程序庫中，有87.3%的YUI3、86.6%的Handlebars、40.1%的Angular、36.7%的jQuery，以及33.7%的jQ-UI都是有漏洞的版本。

　　因此，該安全研究團隊指出，由于只測量了72個JavaScript庫，因此，37%的比例很可能還被低估了。

　　報告指出，盡管各種JavaScript程序庫不斷推出更新版，但仍有不少網站繼續使用那些包含漏洞的版本。因此，對于網站開發人員來說，當務之急應該采用更為系統化的管理機制，快速掌握網站中使用了哪些程序庫，并隨時保持其更新狀態。

　　此外，研究人員也發現，絕大多數的程序庫都未建立專門的安全更新郵件論壇（mailing list），也多缺乏詳細的漏洞報告，還有許多修補程序無法兼容之前的老程序庫版本，快速的生命周期也讓開發人員疲于更新等問題。

責任編輯：韓希宇