17개의 ESLint 보안 플러그인을 벤치마킹한 결과, 오직 하나만 모든 취약점을 발견함.
이 기사는 14개의 CWE 카테고리에 걸쳐 40개의 취약한 코드 패턴과 38개의 검증된 안전 패턴을 사용해 17개의 ESLint 플러그인을 벤치마킹한 결과를 분석한다. 그 중 'Interlace Ecosystem' 플러그인이 모든 패턴을 완벽하게 탐지한 반면, 나머지 플러그인들은 50% 미만의 탐지율을 보였다. 특히, 'eslint-plugin-security'는 최신 ESLint에서는 취약점을 전혀 탐지하지 못하는 것으로 나타났다. 이런 결과는 Node.js 팀들이 자신들의 보안 린터에 대해 다시 생각하게 만드는 중요성을 지닌다.
A benchmark of 17 ESLint security plugins shows only one detected all vulnerabilities.
This article analyzes a benchmark of 17 ESLint plugins using 40 vulnerable code patterns across 14 CWE categories and 38 verified-safe patterns. 'Interlace Ecosystem' achieved a perfect detection rate, while most others detected fewer than 50% of the vulnerabilities. Notably, 'eslint-plugin-security' failed to detect any vulnerabilities on the latest version of ESLint, highlighting the need for Node.js teams to reconsider their security linters. These findings raise concerns about the effectiveness of security tools in current development environments.