Re: consiglio su librerie js online

[Piviul <piviul@riminilug.it>]

Il 24/04/25 10:46, mauro morichi ha scritto:
> Il 24/04/25 10:23, Piviul ha scritto:
> > Ciao a tutti, leggendo in rete[¹] mi chiedevo cosa sia meglio 
> > nell'utilizzo di librerie javascript online tipo bootstrap. Se si 
> > linkano direttamente online si rischia che se vengono compromesse la 
> > tua applicazione possa essere a rischio; se le copi in locale del 
> > resto devi sempre periodicamente controllare se ci sono aggiornamenti 
> > di sicurezza e non è detto che poi quando le aggiorni non ti porti 
> > dentro un qualche malware... come è meglio gestire la cosa secondo voi? 
> Buondi' Piviul.
>
> Provo a ragionare al contrario.
>
> Le librerie JS soprattutto quelle piu' famose e usate sono sicuramente 
> piu' al sicuro sui loro server dove sono  più controllate, aggiornate 
> rispetto a quelle che uno si dovrebbe copiare localmente con tutte le 
> problematiche del caso. Una loro compromissione durerebbe ben poco 
> prima della correzione del problema.
>
> Se ti porti in casa  le librerie dovresti essere sempre attento a cosa 
> succede, se ci sono aggiornamenti di sicurezza e via discorrendo. Se 
> poi compromettono le TUE librerie JS, quelle che ti eri scaricato, 
> nemmeno potresti correre ai ripari.
>
> Forse e' meglio la soluzione online, meno sbattimento.

infatti anch'io avevo fatto lo stesso ragionamento poi come dicevo ho 
trovato questo[¹] e avevo pensato di aver sbagliato tutto. Anche perché 
in effetti se compromettono la sorgente anche per poco tempo potrebbero 
fare di tutto nel tuo sito web ma a ben guardare in effetti le librerie 
javascript hanno una hash per controllarne l'integrità.

Grazie, scusate per il rumore

Piviul

[¹] https://www.sonatype.com/blog/open-source-malware-index-q1-2025