2023-07-20のJS: vm2の開発終了、Storybook 7.1、Fresh 1.3

[azu]

Node.jsのnode:vmモジュールはSandbox(信用できないコードの実行環境)としては利用できませんが、vm2はnode:vmをラップしてSandboxを提供するモジュールでした。

今回、vm2の仕組み的に修正できないSandboxに関する脆弱性が発見されたため、メンテナンスを終了することが宣言されています。脆弱性の詳細はまだ公開されていませんが、Sandboxを破ることができる脆弱性で、PoCは8月ごろに公開される予定です。

• Discontinued · Issue #533 · patriksimek/vm2
• vm2 Sandbox Escape vulnerability · CVE-2023-37466 · GitHub Advisory Database

Sandbox機能が欲しい場合は、QuickJSをWebAssemblyにコンパイルしたquickjs-emscriptenやV8のIsolateを使ったisolated-vmへの移行を推奨しています。
proxy-agents(PACファイルを評価するためにvm2を利用していた)はquickjs-emscriptenへ移行したようです。

• Use quickjs-emscripten instead of vm2 to execute PAC file code by TooTallNate · Pull Request #224 · TooTallNate/proxy-agents

vm2はnode:vm上で実行するコードからホスト環境を参照できないようにパッチで塞いでいくアプローチをとっていました。(📝 node:vmを使ったことがある人向けの話。contextとして渡すオブジェクトにProxyを使い、特定のプロパティを参照できなくするなど)
これは軽量ですが、塞げない穴が出てきたり抜け漏れが出やすいアプローチです。

こういったSandboxにはどのようなアプローチがあるかは、次の記事が面白いと思います。

• How to build a plugin system on the web and also sleep well at night | Figma Blog
• Sandboxing and Workload Isolation · Fly

---

Storybook 7.1がリリースされました。

• Storybook 7.1

Storybook上でオンボーディングの追加、Emotionなどのスタイリングライブラリのセットアップを自動化、Vueのサポートの改善などが含まれています。
また今までコミュニティ開発であったFigma design addonをコアのAddonとして管理するようになっています。

---

Deno向けのウェブアプリケーションフレームワークであるFresh 1.3がリリースされました。

• Fresh 1.3 – Simplified Route Components and More

非同期のルートコンポーネントをサポート、プラグインがルーティングやミドルウェアを定義できるように、_500.tsxでのエラーページのサポート、ErrorBoundaryのサポートなどが追加されています。
また、1ファイルから複数のislandsをexportできるように、Deno.serveのサポートなども追加されています。