兩張來(lái)源不(bù)明的(de)截圖今日在(zài)業内被廣泛傳播，其内容是(shì)國(guó)家有關部門要(yào / yāo)求境内黨政機關和(hé / huò)重要(yào / yāo)企事業單位對兩款開源項目 SonarQube 和(hé / huò) Vue.js 的(de)使用情況進行組織排查，重點是(shì)政府服務平台。原因是(shì)有關部門通報境外黑客正在(zài)組織利用 SonarQube 和(hé / huò) Vue.js 對上(shàng)述單位實施網絡攻擊探測。

Vue.js 創始人(rén)尤雨溪獲悉此事後，迅速進行了(le／liǎo)回應，他(tā)表示 Vue 對于(yú)安全問題十分重視，但他(tā)們近期并沒有收到(dào)漏洞報告。而(ér)且截圖中提到(dào)的(de)漏洞是(shì)純粹的(de)後端 API 鑒權漏洞，跟前端和(hé / huò) Vue 沒有任何關系。除此之(zhī)外，他(tā)們沒有找到(dào)任何關于(yú) Vue 的(de)漏洞披露。公開的(de) CVE 數據庫中目前也(yě)沒有任何針對 Vue.js 本身的(de)漏洞。而(ér)且 Vue 作爲(wéi / wèi)開源項目，又是(shì)以(yǐ) JavaScript 源碼形式發布的(de)前端項目，每一(yī / yì ／yí)行代碼都公開接受任何安全審計。Vue 2 發布至今已經 5 年多，在(zài)全球業界被廣泛使用，期間從未有被發現過真正意義上(shàng)的(de)安全漏洞。

尤雨溪在(zài)回應中指出(chū)“前端框架無法被黑客用于(yú)滲透”，解釋了(le／liǎo) XSS 攻擊手段，同時(shí)對過往關于(yú) Vue.js 的(de)一(yī / yì ／yí)些“漏洞”報告也(yě)進行了(le／liǎo)說(shuō)明——主要(yào / yāo)原因是(shì)開發者将用戶上(shàng)傳的(de)任意 HTML 内容當作 Vue 模版或是(shì) v-html 數據使用。而(ér)這(zhè)種做法無論是(shì)否使用了(le／liǎo) Vue 都會導緻 XSS。

最後尤雨溪說(shuō)道(dào)，Vue 本身并不(bù)存在(zài)任何安全性問題。也(yě)因此，他(tā)們對于(yú) Vue 被列入排查感到(dào)很困惑，如果知道(dào)詳情或是(shì)漏洞細節的(de)朋友，可發郵件到(dào) security@vuejs.org 通知 Vue.js 團隊。

根據在(zài)網上(shàng)的(de)公開信息，近期能找到(dào)的(de)是(shì) 2021 年 11 月關于(yú) SonarQube 漏洞的(de)報道(dào)：

• 網傳 SonarQube 平台漏洞被利用，大(dà)量源碼洩露