当前位置: 代码迷 >> 综合 >> VS 2017 推出库管理器 LibMan;网站公开 .git repo 造成安全风险
  详细解决方案

VS 2017 推出库管理器 LibMan;网站公开 .git repo 造成安全风险

热度:5   发布时间:2023-12-13 10:38:00.0

(点击上方蓝字,快速关注我们)

转自:IThome、开源中国、solidot、cnBeta、腾讯科技等

0、微软在 Visual Studio 2017 推出函数库管理器 LibMan

640?wx_fmt=png

  

微软推出了函数库管理器(Library Manager,LibMan),让开发者能更方便查询并下载 Web 开发常用的函数库,但微软强调,LibMan 并非要取代市面上的包管理器。

  

微软在 Visual Studio 2017 15.8 版本中,正式推出了函数库管理器(Library Manager,LibMan)。LibMan 最初出现在 4 月份发布的 15.7 预览版中,但在 15.7 的最终构建版中被拿掉了。现在,LibMan 再次出现在了 VS2017 15.8 中,并已提供稳定的使用,旨在提供一个 Bower 的轻量级替代品。LibMan 会获取 Web 应用程序需要的文件,并把它们放在你为 Web 应用程序指定的目录下。

  

LibMan 并非包管理器,不是用来取代 npm 或 yarn 等包管理器的工具。在开发现代 Web 应用程序时,开发者可能会需要引用像 jQuery 或 Bootstrap 等这样的库。过去最常见的做法是,开发者可能会从以前的项目复制过来、从网上下载或是使用包管理器 Bower 进行获取。但因为 Bower 宣布他们将不再提供支持,因此微软便开发了 LibMan,希望 Web 开发者可轻松地管理常用的客户端函数库。

  

LibMan 轻量且简单,可以帮助开发者从外部如 CDNJS 等来源,查询并下载函数库,并将其放入项目中。但微软强调,LibMan 不是包管理器,也不打算成为这些工具的替代品。当项目不需要用到诸如 Node、npm、Gulp、Grunt 和 WebPack 等工具时,只是需要加入几个函数库,就十分适合使用 LibMan。LibMan 可以让开发者把文件放到指定的位置,不需要额外的构建或复制等动作,而且非常节省空间,因为开发者仅需要下载自己所需的文件,所以在项目中占用较小的空间。

  

相对于预览版,正式版加入了一些新功能。开发者只要在 Web 项目中的任意文件夹,点击鼠标右键,选择新增客户端函数库,就会启动对话框界面,让开发者浏览可用的函数库和文件,以及设置放置文件的位置。

  

结合 CDNJS 和 FileSystem,LibMan 还新增了新的函数库来源 UnPkg,UnPkg 提供了比 CDNJS 更多的函数库。此外,随着 Visual Studio 2017 15.8 的发布,LibMan 命令行界面(Command Line Interface,CLI)已经开发为 .Net CLI 的全域工具,并可在 NuGet 上获取。由于 CLI 是跨平台的,因此开发者可以在 Windows、Mac 或 Linux,任何支持 .NET Core 的平台上使用。

1、安卓工具类库 AndroidUtilCode 1.20.1 发布

AndroidUtilCode 1.20.1 已发布,AndroidUtilCode 是一个强大易用的安卓工具类库,自上个版本以来的更改:

● 新增 PathUtils,发布 1.20.1

● 新增 KeyboardUtils#showSoftInputUsingToggle 和 KeyboardUtils#hideSoftInputUsingToggle

● 修复 SHA 算法名

● ......(详情:https://github.com/Blankj/AndroidUtilCode/blob/master/update_log.md)

2、简单易用的静态站点生成器 Jekyll v3.7.4 发布

Jekyll 是一个简单的博客形态的静态站点生成器,适用于个人、项目或组织站点。可以想像它是一个基于文件的 CMS ,没有任何复杂性。Jekyll 3.7.4 已发布,本次更新主要修复了一个安全性问题:

● Security: fix include bypass of EntryFilter#filter symlink check (#7224)

● ......(详情:https://github.com/jekyll/jekyll/releases/tag/v3.7.4)

3、MySQL 分支版本 MariaDB 10.1.36 发布

MariaDB 10.1.36 已发布,这是 10.1 系列最新的稳定版本。值得注意的更改:

● if available, stunnel can be used during Galera rsync SST - MDEV-15511

● fix of regression introduced in 10.1.32: MDEV-13333

● Galera: MDEV-10754 wsrep_sst_rsync does not support innodb_data_home_dir

● ......(详情:https://downloads.mariadb.org/mariadb/10.1.36/)

4、安全研究员发现 39 万个网站因公开的 .git repo 处于危险中

据外媒报道,在扫描了超过2.3亿个域名之后,Lynt Services的捷克安全研究员Vladimir Smitka发现了39万多个网站的源代码.git储存库的暴露在网上。虽然公开可用的git储存库并非什么新鲜事,但在网上公开共享一个私有储存库却不是什么好主意。

640?wx_fmt=png

开发人员和网站管理员应当考虑的一件事是。一个production .git储存库可能包含了敏感数据例如私人API密匙和数据库密码。

Smitka在报告中指出:“这些数据不应该被储存在储存库中,但在之前对各种安全问题的扫描中我发现许多开发人员没有遵循这些最佳做法。”

此外,像.git/index这样的repo文件可以用来收集关于应用程序内部结构的信息,首先想到的是端点和内部应用程序结构。

实际上一开始,Smitka扫描的规模要比现在小得多,他只扫描了捷克和斯洛伐克的网站。然而在发现1925个捷克网站和931个斯洛伐克网站在网上公开git站点之后,他觉得问题比他之前要想象得要严重得多。于是他在收集了2.3亿个域名后用相同的脚本对它们进行了扫描以找到与捷克和斯洛伐克网站链接的错误配置的服务器。

四周后,Smitka发现了惊人的39万个存在暴露问题的网站。为此,他联系了这些网站背后的开发人员让他们知道这一发现并提供了缓解问题的建议。“在发送了邮件之后,我与受影响方交换了大约300条信息以澄清这一问题。我收到了2000封感谢信、30封误报、2封欺诈/垃圾邮件指控、1封威胁要向加拿大警方报警的信件。”

觉得这些资讯有帮助?请转发给更多人

关注 技术最前线 看 IT 要闻

640?wx_fmt=png

  相关解决方案