title: 前端安全
author: Gamehu
tags:
  - 安全
categories:
  - 前端
date: 2020-07-30 11:04:00
---
### 背景

我们的产品通常进入客户现场之前都会有一系列的安全扫描（公司级的、客户级的），去年我们团队就解决了好几个安全问题，不过通常都是后端的方式来解决，但其实某些安全问题前端也能解，有些问题前端解更合适，这不借着重新出发的春风，往前端工程化中加了一步**安全**。

此篇文章收获颇多。[WEB前端安全自查和加固](https://mp.weixin.qq.com/s?__biz=MjM5MjY3OTgwMA==&mid=2652469355&idx=1&sn=fd1a47ea216beae53f5d807c21186566&chksm=bd4f4a7c8a38c36a116a659c10e08367b217448a24752ac677e378cad1b9e1cf9b2d6705e113&mpshare=1&scene=1&srcid=0717EknGxzkoHpNBlCIP6O4G&sharer_sharetime=1594989878682&sharer_shareid=77df2eafd0a472623696abf038541666&version=3.0.25.2103&platform=win&rd2werd=1#wechat_redirect)



### 实操

##### 对于安全方面的共识

1. 对于第三方包的引入，必须经过`npm audit+snyk`安全扫描后且经过小组内评审通过后方才能引入。
2. 对于我们自己发布的包，必须去掉敏感信息。
3. 每次更新了package.json之后都需要进行安全扫描。

如下图，是我们项目里我用**snyk**执行扫描之后报出问题的包信息。

{%asset_img  image-20200730110550740.png %}

### 小结

后续会把考虑把该步骤拿到流水线里去做，因为虽然大家意识层面共识了，落地的时候可能还是会有各种遗漏，所以干脆直接交给机器来做。

安全无小事，先动起来！

`本文引用的内容，如有侵权请联系我删除，给您带来的不便我很抱歉。`