Ce este Source Maps?

Fisiere care expun codul sursa original al site-ului web

Definiție Source Maps

Source maps sunt fisiere (.map) generate in procesul de build care permit reconstituirea codului sursa original din codul minimizat. Sunt utile pentru debugging, dar daca sunt accesibile public, oricine poate vedea codul sursa complet al aplicatiei, inclusiv logica de business, endpoint-uri API ascunse si potentiale vulnerabilitati.

De ce contează Source Maps

Fisierele .map publicate pe serverul de productie expun codul sursa original complet, inclusiv comentariile dezvoltatorilor, structura proiectului si logica de business. Atacatorii pot analiza codul pentru a identifica vulnerabilitati, endpoint-uri API nedocumentate sau logica de autorizare implementata pe client.

Cum verifici Source Maps

SoftAudit cauta referinte la fisiere .map in comentariile //# sourceMappingURL din fisierele JavaScript si CSS si verifica daca aceste fisiere sunt accesibile public prin cereri HTTP. Raporteaza fiecare source map gasit si dimensiunea codului sursa expus.

Greșeli frecvente

Includerea source maps in build-ul de productie este setarea implicita in multe toolchain-uri (webpack, Vite, Create React App), iar dezvoltatorii uita sa le dezactiveze pentru deploy. Stergerea fisierelor .map dar lasarea comentariului sourceMappingURL in fisierele JS genereaza erori 404 vizibile in consola, indicand atacatorilor ca source maps-urile au existat.

Bune practici

Configureaza build-ul de productie sa nu genereze source maps: in webpack seteaza devtool pe false, in Vite build.sourcemap pe false. Daca ai nevoie de source maps pentru debugging in productie, restrictioneaza accesul la IP-urile echipei sau incarca-le intr-un serviciu dedicat precum Sentry.