问devDependencies在Node.js中可利用吗？

EN

这取决于漏洞和威胁环境(每个组件都是如此，而不仅仅是开发组件)。下面是几个(一般的)例子：

1. 从指定位置获取外部脚本并执行它的工具。漏洞:库通过HTTPS获取脚本，但不验证证书。可利用性:是的，中间人网络攻击者可以用恶意脚本替换预期的可信脚本，从而在您的计算机上获得代码执行。
2. 一个应用程序框架，当启动用于调试时，它在一个端口上启动应用程序，而在另一个端口上启动一个调试服务。调试服务可用于控制程序执行。漏洞:调试服务侦听所有接口，且未经身份验证。可利用性:是的，网络攻击者(如果没有被防火墙阻止)或同一主机上的低权限用户可以连接到调试服务器以获得应用程序的控制，从而导致执行任意代码。
3. 与上述相同，但调试接口却是本地(Unix)套接字。漏洞:套接字是全局访问的。可利用性:可能是因为您系统上的任何其他用户(或以其他用户身份运行的进程)都可以使用本地套接字获得代码执行。但是，如果机器是单用户(没有其他用户在运行代码)，而且服务器没有比其他任何权限更高的权限(没有EoP的机会)，那么在这种情况下就无关紧要了。
4. 一种加密签名可发布文件的工具。漏洞:该工具错误地截断超过4096位的签名，导致签名安全性降低和签名错误.可利用性:不太可能，因为长于4096位的RSA密钥在实践中非常少见，因为4096位RSA密钥已经相当安全。此外，如果您确实使用了一个，您可能会注意到签名没有验证.尽管如果没有，这可能会给已发布文件的使用者(可能是您自己的公司)带来问题，如果他们不能验证文件和/或使用验证器来验证文件(由于执行相同的截断)，但是截断会使修改文件变得更容易，而不会使签名无效。
5. 从模板生成文件的工具。漏洞:该工具可能不正确地将生成的文件相对于系统根目录而不是当前目录放置。可利用性:由于生成的文件不小心覆盖任何内容的可能性非常低，除非它们的目录结构类似于系统根目录，而且该工具可能不会以提升的权限运行，因此无论如何也无法覆盖大多数文件。看似良性的恶意依赖可能会利用此漏洞，从而导致不直接包含恶意代码的情况下，用恶意值(如果与易受攻击的工具一起使用)覆盖例如您的~/..ssh/authorized_keys，但这种攻击是非常不可能的(从技术上讲，这将是一种供应链攻击，只是偷偷地利用另一个工具的bug)。
6. 一个工具，除其他外，可以根据提交消息更新Jira工作项。漏洞: Jira集成首先针对每个请求尝试HTTP，只有在重定向时才升级到HTTPS ( Jira通常这样做)。可利用性:取决于你是否使用吉拉。如果您这样做，网络攻击者可以窃取您的Jira信用文件，并进行更改。如果不是，则此漏洞与您的环境无关。
7. 通过HTTPS将静态分析结果上传到服务器的工具。漏洞:该工具打包了OpenSSL的一个版本，该版本在用作TLS服务器时包含拒绝服务漏洞。可利用性:不，该工具不充当TLS服务器，只充当TLS客户端，因此该漏洞与其用例无关。