Kann Vue 2 (oder ein anderes Front-End-Framework) nach dem End-of-Life (EOL) nachhaltig (sicher) verwendet werden?

Question

Bei der Nutzung von Vue als eigenständiges SPA werden nach dem EOL im Dezember 2023 mit Sicherheit keine größeren „Bugs“ entdeckt.

Ich verwende Vue als StandaloneFrontend-SPA mit einem Express-REST-API-Backend, fast das gesamte „Risiko“ liegt im Backend, also dachte ich mir, wenn ich mein Frontend richtig konfiguriert habe (mithilfe von Umgebungsvariablen usw.), sollte das auch der Fall sein Wird Vue 2.7 im Jahr 2030 noch für die Produktion verfügbar sein? Ob es bis 2030 genutzt werden soll, ist eine andere Frage.

Ich habe geschäftliche, rechtliche und persönliche Gründe, kein Upgrade auf Vue 3.x durchzuführen. Die meisten Leute aktualisieren, weil das Ökosystem Vue 3 folgt, ich mich nur auf Vue-CLI verlasse und meine Vue 2-Codebasis zu groß ist, um sie ohne Sicherheitsmotivation umzugestalten.

Das ist eine schwierige Frage, da die meiste Software nicht als eigenständiges Frontend verwendet werden kann. Daher gibt es aus dem, was ich im Internet gesammelt habe, nicht viele Beweise für solche Sicherheitslücken in Frameworks nach EOL.

Answer 1

我不会把这样的赌注押在 JS 框架上，你永远不知道会发生什么。特别是因为如果 Vue 使用某种依赖项（如 lodash 或其他）并且它有一些漏洞，我猜你将无法升级。

所以，是的，对于长期应用程序来说，押注 JS 可能不是一个好主意。但与此同时，正如您所说：客户端 JS 框架没有什么那么重要。

这完全取决于你将它与 Vue 周围的包一起使用。

使用一些后端来渲染视图会更安全（然后在其上添加一些普通 JS 来复制 SPA 的行为）。否则，远离 JS 的一切以及更多在服务器端肯定会更安全。

TLDR：JS 需要维护。