前脚 React 刚被曝出严重的安全漏洞 毁灭吧!React又爆两大漏洞,请(再次)速查!,让大家忙着升级补丁;后脚作为前端组件开发神器的Storybook又传来“噩耗”。
就在几天前,Storybook 官方发布了一则紧急安全公告:在特定配置下,你的 Storybook 构建产物可能会直接将.env文件中的所有环境变量(包括敏感密钥)打包进去,并公之于众。
这可不是危言耸听,如果你的项目正以此方式部署在公网上,你的 API Key、数据库密码可能已经在“裸奔”了。
发生了什么?
事情的起因是 Storybook 在处理环境变量时存在一个 Bug(CVE-2025-68429)。
简单来说,当你在项目中使用 Storybook 7.0 及以上版本,并且在构建(Build)过程中使用了.env文件来管理环境变量时,Storybook 的某些机制可能会错误地将整个 .env 文件的内容包含在最终生成的静态文件中。
这意味着,任何人只要访问你部署好的 Storybook 页面,通过查看源码或者网络请求,就有可能获取到你原本只想在本地或构建阶段使用的私密信息。
谁是受害者?(请立刻自查)
并不是所有使用 Storybook 的人都会中招。根据官方公告,只有同时满足以下条件的项目才会受影响:
版本范围:使用的是 Storybook7.0.0及以上版本。
构建环境:在包含
.env文件(包括.env.local等变体)的目录中运行了storybook build。代码模式:你的代码(包括
manager.js/ts或使用的插件)中包含特定的process.env访问模式,例如:
解构赋值:
const { MY_SECRET } = process.env对象展开:
{ ...process.env }直接赋值:
const env = process.env
公网发布:你将构建好的静态 Storybook 发布到了公网上。
注意:如果是 CI/CD 环境(通常通过平台环境变量而非
.env文件注入),或者仅在本地运行storybook dev,通常是不受影响的。但是,值得警惕的是,官方审计发现,Top 100 的 Storybook 插件中,有几个常用插件的代码模式会触发这个漏洞,其中包括:
@chromatic-com/storybook(Visual Tests addon)@storybook/addon-designs
这意味着,即使你自己的代码写得很小心,你引入的插件也可能把你“卖”了。
如何自救?
官方已经发布了紧急补丁。解决办法非常简单粗暴:升级!立刻升级!
请确保你的 Storybook 版本不低于以下安全版本:
v10.x用户:升级到
10.1.10+v9.x用户:升级到
9.1.17+v8.x用户:升级到
8.6.15+v7.x用户:升级到
7.6.21+
在升级并重新构建发布之前,建议先轮换(Rotate)掉所有可能已泄露的密钥。安全无小事,不要抱有侥幸心理。
这次事件再次给我们敲响了警钟。
在现代前端开发中,我们习惯了使用 Webpack、Vite、Storybook 等各种工具。我们往
.env里塞各种配置,以为它是安全的“后端”领域。但实际上,前端构建工具的最终产物是完全公开的静态资源。任何试图混淆“构建时环境变量”与“运行时环境变量”边界的行为,都可能埋下雷。
对于
.env文件,最好的实践永远是:不要在.env文件中存放任何真正的生产环境机密(Secrets),除非你明确知道它们会被如何处理。对于必须使用的密钥,尽量通过 CI/CD 平台的 Variables 功能注入,而不是依赖提交到仓库或本地残留的文件。参考来源:
Storybook Security Advisory: https://storybook.js.org/blog/security-advisory/*
