以前有人说,开源项目非常安全,因为谁都可以看到代码,所以不怕里面藏有后门。这样的言论显然非常天真,一来,并不会有很多人真的去看源代码;二来,有一些缺陷隐藏得很深,光看源代码看不出来,例如 log4j2;第三,有办法把后门藏在一段非常安全的代码里面,你即使看源代码也看不出哪里有问题。今天这个案例,是我在网上闲逛(mo yu)的时候偶然发现的,它的做法非常精巧,可以称得上是光明正大开后门。案例文章的原始地址是:The Invisible JavaScript Backdoor 这篇文章给出了一段看起来非常安全的 Node.js 的代码:1234567891011121314151617181920……