安全

所有 nginx 安全问题都应报告给 F5SIRT@f5.com 或通过此处列出的方法之一。

补丁使用 PGP 公钥之一进行签名。

NJS 不评估动态代码 尤其是以任何方式从网络接收的代码。 使用 njs 评估该代码的唯一方法 是在 nginx 中配置 js_import 指令。 JavaScript 代码在 nginx 启动期间加载一次。

在 nginx/njs 威胁模型中，JavaScript 代码被认为是可信来源 与 和 Sites 证书相同。 这在实践中意味着什么：nginx.conf

• 内存泄露和其他安全问题 由 JavaScript 代码修改触发 不被视为安全问题，而是作为普通 bug
• 应采取措施保护 njs 使用的 JavaScript 代码
• 如果 中没有 js_import 指令，则 nginx 不会受到 JavaScript 相关漏洞的影响nginx.conf