Опубликован инструмент для выявления проблем с безопасностью в приложениях Electron
Представлен первый выпуск утилиты Electronegativity, предназначенной для выявления некорректных настроек и потенциальных проблем с безопасностью в приложениях, разработанных с использованием платформы Electron. Код проекта написан на языке JavaScript и поставляется под лицензией Apache 2.0.
Утилита выполняет разбор AST (абстрактное синтаксическое дерево) и DOM, анализирует расхождения с рекомендациями по безопасной разработке с использованием платформы Electron и автоматически выявляет потенциальные проблемы и опасные приемы разработки. При сканировании приложения утилита распаковывает все ресурсы и анализирует используемый в приложении Javascript-код, HTML-разметку и JSON-блоки. Результат сканирования может быть выведен в форме наглядного текстового отчета или в форматах CSV и SARIF.
В настоящее время реализована 27 проверок, построенных на основе изучения типовых уязвимостей в приложениях на базе Electron. Например, проверяется включение настройки disablewebsecurity, обработка внешних ресурсов без их sandbox-изоляции от остального кода, использование внешних обработчиков, доступ preload-скриптов к Node.js API, переопределение обработчиков протоколов, использование опасных функций (insertCSS, executeJavaScript, eval), отключение блокировки всплывающих окон (allowpopups), обращение к экспериментальным API Chromium, обработка кода без опции contextIsolation, установка HTTP-соединений без шифрования и т. п.