近日，美国高校安全研究团队发布了一份关于网络上使用JavaScript程序库的分析报告，报告中指出在所调查的13.3万个网站中，有37%的网站存在使用含有漏洞的JavaScript程序库的情况，而且至少使用了1个，同时这些程序库多是很久都未更新的老版本。
 

　　37%网站存在JavaScript库漏洞

　　JavaScript作为一种高级动态程序语言，是与HTML及CSS并重的网页前端设计标准代码，堪称万维网(WWW)的三大核心技术语言之一。而JavaScript程序库(JavaScript library)则是为了方便开发JavaScript应用而事先写好的子程序集合，目前全球存在约10万种程序库。

　　据悉，该调查报告以最常见的72种开放源码的JavaScript程序库为标准，包括jQuery、jQuery-UI、Modernizr、Bootstrap、Yepnope、jQuery-Migrate及SWFObject等，来考察当前网站在使用和维护这些JavaScript程序库时的情况。

　　通过建立上述72种程序库的各版本漏洞数据库，研究人员扫描了大约13.3万个网站，来侦测这些网站是否安装了含有漏洞的程序库及其相关版本。

　　结果令人惊讶的是，有37%的网站使用了1个含漏洞的JavaScript库版本，而有10%的网站则使用了2个甚至以上的含漏洞JavaScript库。

　　在Alexa排行榜上的7.5万个网站所使用的程序库中，有87.3%的YUI3、86.6%的Handlebars、40.1%的Angular、36.7%的jQuery，以及33.7%的jQ-UI都是有漏洞的版本。

　　因此，该安全研究团队指出，由于只测量了72个JavaScript库，因此，37%的比例很可能还被低估了。

　　报告指出，尽管各种JavaScript程序库不断推出更新版，但仍有不少网站继续使用那些包含漏洞的版本。因此，对于网站开发人员来说，当务之急应该采用更为系统化的管理机制，快速掌握网站中使用了哪些程序库，并随时保持其更新状态。

　　此外，研究人员也发现，绝大多数的程序库都未建立专门的安全更新邮件论坛(mailing list)，也多缺乏详细的漏洞报告，还有许多修补程序无法兼容之前的老程序库版本，快速的生命周期也让开发人员疲于更新等问题。

(责任编辑：宋编辑)