Sicherheitslage der Frameworks

Security Report: Angular und React im Test
Keine Kommentare

Die Open-Source-Security-Plattform Snyk hat einen Sicherheitsreport für die JavaScript Frameworks Angular und React veröffentlicht. Dabei wurden die Frameworks selbst und ihre Ökosysteme auf mögliche Sicherheitsschwachstellen getestet.

Für den JavaScript Framework Security Test wurden vom Herausgeber Snyk das Hauptaugenmerk darauf gelegt, mögliche Sicherheitslücken in den jeweiligen Frameworks und ihren Ökosystemen zu sammeln.

Security Report: Die Ergebnisse

Während die Tester keine einzige Sicherheitslücke in den Komponenten des Angular Frameworks entdecken konnten, wurden sie bei der ersten 1.x Version von AngularJS  gleich 23 Mal fündig. Bei React verzeichneten sie insgesamt drei Sicherheitsrisiken,  einen in react und zwei in react-dom.

Die Ökosysteme der beiden JavaScript Frameworks wurden für den Report ebenfalls unter die Lupe genommen. Das Ergebnis: Sowohl React als auch Angular weisen Sicherheitslücken in den Frontend Libraries auf, für die es bis jetzt keine Fixes gibt. Darüber hinaus geben die Autoren des Reports an, Malware in einzelnen Modulen der Ökosysteme gefunden zu haben. Diese würden versuchen, sensible Daten auszulesen. Betroffen sind bei Angular die Module angular-bmap, ng-ui-library und ngx-pica. Bei React sind react-datepicker-plus, react-dates-sc, aweseome_react_utility und react-server-native betroffen. Als positives Beispiel im Bereich der Ökosysteme wird Next.js genannt, da hier Schwachstellen regelmäßig entdeckt, veröffentlicht und zeitnah behoben werden.

Beim Vergleich der allgemeinen Sicherheitsbestimmungen kommt der Report zu dem Ergebnis, dass Angular auf eine Politik der Offenlegung setzt und einen Kontakt für Security-Fragen stellt, was React nicht bietet. Angular verfügt darüber hinaus über einen Support für Cross-Site Request Forgery (CSRF) Schwachstellen mit einem eingebauten Sicherheitsmechanismus im HTTP-Service. React-Entwickler müssen die Probleme unabhängig voneinander lösen.

Der gesamte Report kann auf der Homepage von Snyk eingesehen und heruntergeladen werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -