因使用过时 jQuery 版本，7.5 亿个网站存在隐私和安全风险

OpenJS 基金会公布了一项基于 IDC 调查的最终用户审计结果显示，十亿个网站中有四分之三的网站正在使用过时的软件，并且其中大多数网站都会收集个人和财务信息。超过三分之一的受访者证实，在过去 24 个月中曾经历过安全事件。

OpenJS 基金会分析了本次最终用户审计的 IDC 调查结果和其他数据点，估计全球 19 亿个网站中有近 90% 使用开源软件 jQuery，其中 7.5 亿个站点需要升级。鉴于问题的严重性，OpenJS 基金会建议在 Web 安全性方面进行行为改变。

“jQuery 使网页开发变得简单易用，但也导致数亿个网站仍然使用旧的、不受支持的版本。即使 jQuery 团队发布安全修复，这些网站通常也不会进行更新，从而导致容易受到攻击。”

主要发现包括：

• 89％的随机调查受访者报告称，他们知道自己的互联网面向的网站上使用了 jQuery。
• 其中 80％ 的组织会捕获个人身份信息 (PII) 等重要信息，包括付款信息 (52%)、位置 (64%)、联系信息 (80%)。
• 85％的受访者认为，网站是必不可少或极其重要的。
• 安全事件造成的业务损失严重，28％的受访者表示有客户流失，29％的受访者表示造成了收入损失。此外还有 39% 的受访者报告了违规行为，45% 的受访者报告了品牌受损。
• 48% 的受访者表示，提升安全性是升级的首要动机。

IDC 软件开发和开源 IDC 集团副总裁 Al Gillen 称：“这项研究给我们带来的启示很简单：jQuery 用户可以使用一项强大的、由社区支持的技术，他们无需支付订阅费用即可获得或使用这项技术，而且这个项目还在不断得到投资和改进。用户已经从这项技术中享受到了可观的收益，但如果你还没有使用最新版本，那么为了你的业务，你有义务升级到一个受支持版本，以实现收益最大化和潜在风险最小化。”

OpenJS 基金会执行董事 Robin Bender Ginn 则表示，“当十亿个网站中有四分之三仅仅因为一个开源项目而需要升级时，问题就大了。这让我们相信，公司正在使用更过时和不受支持的技术，有可能将消费者置于风险之中。要解决如此大规模的问题，我们需要开始考虑定期评估网站技术，就像人们每年都去医生那里做体检一样。”

为此，OpenJS 基金会正在开发一款免费的 Healthy Web 检查工具，以广泛提供给世界各地的企业和组织。该检查工具只需耗时 5 秒，但目前仅可用于检查 jQuery 的版本，OpenJS 基金会计划接下来将其扩展到更多网络健康相关的开源 JavaScript 项目。

jQuery 核心团队成员兼高级软件工程师 Michał Gołębiowski-Owczarek 也呼吁称，改善网站健康状况的第一步是确定该的技术堆栈是否需要升级。在团队不断地改进 jQuery 的安全性和性能的同时，也建议大家使用 Healthy Web checkup 工具或自己的评估工具来检查网站上使用的软件版本。

OpenJS Healthy Web 检查工具目前处于 beta 阶段，仅限技术评估人员和 OpenJS 成员使用，计划于 2024 年初全面推出。