@lsmn
2016-09-27T13:36:24.000000Z
字数 1167
阅读 2448
Node.js
citgm
npm
Node.js基金会发布了Node.js v7 Beta版。该版本的发布恰逢v6成为该基金会的第二个LTS版本。在2019年4月份之前,v6版本将可以一直得到积极的技术支持和维护。
Node.js基金会发布了Node.js v7 Beta版。该版本的发布恰逢v6成为该基金会的第二个LTS版本。在2019年4月份之前,v6版本将可以一直得到积极的技术支持和维护。
Node.js技术指导委员会主席Rod Vagg告诉InfoQ:
v7的重点是确保生态系统中的模块可以和Node Core保持一致。Node.js Core技术指导委员会已经确定出了该生态系统最依赖的其中68个Node.js模块,并使用了一种名为“金矿中的金丝雀(citgm)”的技术,以确保Node.js版本升级时,模块不会损坏。
Citgm是一个冒烟测试工具,可以自动运行针对Node.js生态系统中各模块的单元测试。它令人难以置信的有效,可以找出生态系统和Node Core本身存在的各种各样的回归缺陷。
Vagg将模块描述为Node.js生态系统的“根本”,并将其归因于近年技术发展的步伐,因为Node.js生态系统在发展最快的生态系统中是最大的,它有超过32万个npm模块。
Node.js v6.6有一些显著的变化,其中包括一个重新添加crypto.timingSafeEqual的提交,让“事件监听器达到最大值”的内存泄漏警告更易用,以及未处理拒绝现在会在第一次标记后发出一个处理警告。
在宣布面向所有已发布的活跃版本的安全更新后,该基金会发布了影响Node.js的漏洞列表,其中包括CVE-2016-2183:SWEET32 Mitigation。
据Vagg介绍,“SWEET32是一个新的针对较老的块加密算法的攻击。那些算法使用了64位的块大小。OpenSSL已经将基于DES的加密算法从HIGH
迁移到MEDIUM
类。由于Node.js在其默认套件中包含了HIGH
,而不是MEDIUM
,所以,如果使用默认套件,就不会包含受影响的加密算法。”虽然这个漏洞并不是很严重,但它影响了Node.js的所有版本。
CVE-2016-6304(OCSP状态请求扩展导致内存无限增长)也影响了Node.js的所有版本,它被认为是一个严重的缺陷。该漏洞允许恶意客户端在单个会话中发送很大的OCSP请求扩展,耗尽服务器的内存,导致DoS。使用TLS的Node.js服务器容易受到攻击。
从2016年6月开始,Node.js v5进入维护模式。两个月之后,它走到了生命周期的尽头。9月份,随着v7的发布,v6成为Node.js的第二个LTS版本。