Snyk 發(fā)布了 2019 年度的 JavaScript 框架安全狀況報(bào)告（PDF），除了最流行的 JS 框架 Angular 和 React 外，報(bào)告還觀察了其它三個(gè)流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。jQuery 過去 12 個(gè)月的下載量超過了 1.2 億次，是 Vue.js 的 4000 萬次和 Bootstrap 的 7900 萬次之和。Vue.js 發(fā)現(xiàn)了 4 個(gè)漏洞，都已經(jīng)修復(fù)。Bootstrap 發(fā)現(xiàn)了 7 個(gè)跨站腳本漏洞，3 個(gè)是在 2019 年披露的，無安全修正。jQuery 發(fā)現(xiàn)了 6 個(gè)影響所有版本的安全漏洞，4 個(gè)是中等危險(xiǎn)級(jí)別的跨站腳本漏洞，1 個(gè)是中危 Prototype Pollution 漏洞，還有一個(gè)是低危拒絕服務(wù)漏洞。jQuery 3.4.0 以上版本不受漏洞影響。jQuery 生態(tài)系統(tǒng)還發(fā)現(xiàn)了多個(gè)惡意的擴(kuò)展包，其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox，這些包過去一年的下載量從幾百到幾千不等。