(给技术最前线加星标，每天看技术热点)

转自：开源中国、Solidot、微博、梨视频、腾讯科技等

2、JS 框架安全报告：jQuery 下载次数超过 1.2 亿次

尽管 JavaScript 库 jQuery 仍被使用，但它已不再像以前那样流行。根据开源安全平台 Snyk 统计，目前至少十分之六的网站受到 jQuery XSS 漏洞的影响，甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。

Snyk 发布了 2019 年 JavaScript 框架的状态安全报告，该报告主要是对两个领先的 JavaScript 框架(Angular 和 React)进行安全审查，但同时还调查了其他三个前端 JavaScript 生态系统项目的安全漏洞：Vue.js、Bootstrap 和 jQuery 等。

报告显示，在过去 12 个月中，jQuery 的下载次数超过 1.2 亿次，相当于 Vue.js (4000 万次)和 Bootstrap (7900 万次)加起来的下载次数。在报告中，Vue.js 被发现漏洞有四个，但已全部修复；Bootstrap 包含七个跨站点脚本(XSS)漏洞，其中有三个是在 2019 年披露的，目前没有任何安全修复或升级途径来避免；而在 jQuery 中，迄今为止被跟踪影响到所有版本的六个漏洞，其中四个属于中等级别的跨站点脚本漏洞，一个属于中等级别的原型污染漏洞(Prototype Pollution)，另一个是低级别的拒绝服务漏洞。

Snyk 报告的结论是，如果你使用 jQuery 3.4.0 以下版本，则容易遭受攻击。

而根据 W3Techs 的数据，使用 jQuery v1.x 的网站占了 84%，这导致它们存在四个中等级别的 XSS 漏洞隐患，使用 jQuery 扩展库(其中 13 个已识别漏洞)会加剧这种情况。

在 Snyk 报告中，jquery.js 是一个恶意包，过去 12 个月中被下载了 5444 次，它的严重程度与其他两个开源社区模块的恶意版本一样高（ jquery-airload 322 次下载和 github-jquery-widget 232 次下载）。

报告还列出另外三个扩展库：jquery-mobile、jquery-file-upload 和 jquery-colorbox，虽然其中包含任意代码执行和跨站点脚本安全漏洞，且没有任何升级途径可修补这些漏洞，但它们还是在过去 12 个月中总共下载了 34 万次以上。

近年来有人认为 jQuery 不再流行，而根据报道目前它仍有高下载量，原因可能如下：

• 目前它还有大量教程、现有网站及软件等都是使用

• jQuery 相关的插件非常丰富，很多新出的 js 框架也支持 jQuery

• 大量的程序员用过 jQuery，熟悉它的语法和功能，后期也会继续使用

3、JS 之父创办的 Brave 浏览器发布 1.0 版

由前 Mozilla CEO 和 JavaScript 作者 Brendan Eich 联合创办的Brave浏览器正式释出了1.0版本。

Brave是基于Chromium，但整合了一些其它浏览器所没有的功能，其中包括被称为Basic Attention Token的数字令牌，用户可通过浏览广告获得令牌，也可以以制定预算按月付费给Brave，根据浏览频率由Brave向内容创作者支付费用。

Brave称该服务为基于区块链的数字广告平台，不会牺牲用户隐私。地址：https://brave.com/brave-launches-next-generation-browser/（Solidot）

4、Windows 10 将禁用 WEP 加密

根据微软刚刚更新的功能停止支持文档，Windows 10 将禁用 WEP 加密。微软称，在 v1903 版本中，当 Windows 10 连接到使用 WEP 或 TKIP 加密的 Wi-Fi 网络时会显示警告信息，WEP 或 TKIP 加密都早已不再安全。Windows 10 的未来版本中将禁止使用这些旧加密技术，微软建议用户将 Wi-Fi 路由器更新使用 WPA2 或 WPA3 加密。（Solidot）

觉得这条资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻

最新业界资讯，我在看❤️