简单说只要使用外部的套件 都需要注意 以我自己经验来说 早期刚开始 FB 出来的时候 YAHOO 也是直接用他们的 JS 登入 後来开始注重安全升级以後 就会强调不可直接引用 必须复制确认 不行的话宁可不用 或是要做特别审核给资安部门 然後遇过比较小心的公司 所有的套件不只不能在线上安装 都必须RD交由其他单位审核 他们会装在一个环境做监测 确定一段时间都没问题 才由独立部门把套件上传 才可以发布到正式环境 现在开源很方便 很多工程师都直接使用套件 有的人只注意到使用的版本号做固定, 但是没有往下追 可能还有套件安装的其他套件当基底也会出问题 都是要注意的地方 如果真的要万无一失 就是这些套件都要 FORK 一份自己公司专用 现在有很多方式可以实现 甚至内建功能都有帮忙注意到 最早 YAHOO 很多套件都像是把别人拿进来 然後改一改加上一个 Y 开头 保证安全... 然後还要过法务部门审核是否可用 之前发生过很多次有人把 CHROME PLUGIN 买下来後 放了恶意的 CODE 进去 只要用外部的都有风险 所以有些厂商还是会自己开发很难用的功能就是... 我曾经接过一个案子 里面引用了我自己开发的外部JS 老板要是不付钱 我就把 JS 关掉, 网站就挂掉... 黑心一点的大概就直接把资料偷走了... 所以资安最大的问题还是人... 当然如果没什麽机密资料的话 就不用担心太多了 一般跟钱有关的案子才需要多注意 -- 最喜欢的一句话是？ 世界和平 最尊敬的人是？ 德蕾莎修女 请说一句话。 大家都要幸福喔～ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.125.96.199 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1617781662.A.1F8.html