web应用程序第三方JS依赖漏洞管理

Question

作为一名安全工程师，我想知道web应用程序第三方JS依赖漏洞管理的通用方法。我们有很多应用程序依赖Jquery等，在常规的漏洞扫描中，旧版本的JS库(其中很多版本都有XSS )报告为漏洞。如果没有真正的阅读和理解代码，你就不能说你的应用程序是否会受到那些XSS的影响，这对一个安全工程师来说也不是一件容易的事情。然而，更新版本(希望没有指定的XSS CVE s)也不容易，因为它需要其他团队在应用程序上进行新的开发和QA-UX测试。我相信这是一个常见的问题。那么，什么是行业标准(由谷歌、苹果、微软等大公司应用)。

我们有这样的情况:我们将问题归类为漏洞，而不提供实际的XSS攻击。然而，由于努力，开发团队并不乐意对其进行升级。他们建议通过编辑图书馆来解决问题。

那么，当您遇到一个已知漏洞的旧JS库时，该怎么办呢？

尽管要进行开发和测试，还是要强制进行升级吗？

通过查看源代码上的更改来修复旧版本？(我猜这是最糟糕的主意)

完全忽略它，直到找到一个XSS漏洞为特定的应用程序？(找到真正的漏洞并不容易，因为需要真正检查易受攻击的部分在哪里，并确定您是否在使用它。对于动态测试人员来说，这是非常耗时的，而且完全是manuel)

将它们归类为风险而不是脆弱性

其他想法？

Answer 1

这是遗留系统的一个常见问题，而不仅仅是关于JS库的问题。

它主要是一种风险，需要分析、管理、接受和记录。

分析这取决于您的风险管理流程。但是，主要是用实际的漏洞来识别当前的漏洞，从而突出风险所有者(即将接受风险的人)的真正风险。拥有一个PoC很好。

管理人员提出解决办法，直到风险得到补救.对于您的情况，CSP和其他基于浏览器的保护可能是一个不错的建议。

接受得到管理层(风险所有者)的认可。

用于跟踪和跟踪目的的文件.