剑客
关注科技互联网

Node.js v7 Beta版引入citgm

Node.js基金会发布了Node.js v7 Beta版。该版本的发布恰逢v6成为该基金会的第二个LTS版本。在2019年4月份之前,v6版本将可以一直得到积极的技术支持和维护。

Node.js技术指导委员会主席Rod Vagg告诉InfoQ:

v7的重点是确保生态系统中的模块可以和Node Core保持一致。Node.js Core技术指导委员会已经确定出了该生态系统最依赖的其中68个Node.js模块,并使用了一种名为“ 金矿中的金丝雀
(citgm)”的技术,以确保Node.js版本升级时,模块不会损坏。

Citgm是一个冒烟测试工具,可以自动运行针对Node.js生态系统中各模块的单元测试。它令人难以置信的有效,可以找出生态系统和Node Core本身存在的各种各样的回归缺陷。

Vagg将模块描述为Node.js生态系统的“根本”,并将其归因于近年技术发展的步伐,因为Node.js生态系统在发展最快的生态系统中是最大的,它有超过32万个npm模块。

Node.js v6.6有一些显著的变化,其中包括一个重新添加 crypto.timingSafeEqual
的提交,让“事件监听器达到最大值”的内存泄漏警告 更易用
,以及 未处理拒绝
现在会在第一次标记后发出一个处理警告。

在宣布面向所有已发布的活跃版本的安全更新后,该基金会发布了影响Node.js的漏洞列表,其中包括CVE-2016-2183: SWEET32 Mitigation

据Vagg介绍,“ SWEET32
是一个新的针对较老的块加密算法的攻击。那些算法使用了64位的块大小。OpenSSL已经将基于DES的加密算法从 HIGH
迁移到 MEDIUM
类。由于Node.js在其默认套件中包含了 HIGH
,而不是 MEDIUM
,所以,如果使用默认套件,就不会包含受影响的加密算法。”虽然这个漏洞并不是很严重,但它影响了Node.js的所有版本。

CVE-2016-6304(OCSP状态请求扩展导致内存无限增长)
也影响了Node.js的所有版本,它被认为是一个严重的缺陷。该漏洞允许恶意客户端在单个会话中发送很大的OCSP请求扩展,耗尽服务器的内存,导致DoS。使用TLS的Node.js服务器容易受到攻击。

从2016年6月开始,Node.js v5进入维护模式。两个月之后,它走到了生命周期的尽头。9月份,随着v7的发布,v6成为Node.js的第二个LTS版本。

查看英文原文: Node.js v7 Beta Brings Canary in a Gold Mine

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址