最新一项针对全球500万款应用程序的安全评估发现,超过4000个敏感密钥正通过JavaScript文件暴露在外;国际权威安全机构发布的报告指出,这些泄露的凭证涉及334个类别,包括688个可完全访问私有代码库的令牌,以及大量能直接控制云服务的API密钥。
前端并非安全边界,任何发布到用户端的代码都应被视为"可被查看"。将密钥留在JavaScript文件中的做法,可能成为入侵的突破口。面对快速迭代的软件开发,只有将安全要求贯穿研发、构建、发布与运维全流程,做到"可发现、可阻断、可追溯",才能在数字化进程中守住安全底线。