如何预防
软件项目应该遵循下面的流程:
1,移除不使用的依赖,不需要的功能、组件和文档;
2,利用工具如 versions、DependencyCheck、retire.js
等来持续的记录客户端和服务器以及它们的依赖库的版本信息;
3,对使用的组件持续监控如CVE和NVD等漏洞中心,可以使用自动化工具来完成此功能;
4,仅从官网渠道获取组件并且在有条件的情况下尽可能采用单一包来避免被恶意篡改的风险;
5,很多老的不再支持的库和组件并没有安全升级,这种情况下,可以考虑使用虚拟补丁技术去检测或保护。