关于Lingui项目中Babel安全问题的修复指南

安全问题背景

近期在JavaScript生态系统中发现了一个影响Babel编译器的安全问题（编号CVE-2025-27789）。该问题主要影响使用Babel编译正则表达式命名捕获组的场景，当代码中使用.replace方法处理不可信字符串时，可能导致性能问题。

问题技术细节

该问题存在于Babel生成的正则表达式命名捕获组的polyfill中。具体来说，当满足以下所有条件时，代码将受到影响：

1. 使用Babel编译正则表达式命名捕获组
2. 在包含命名捕获组的正则表达式上使用.replace方法
3. 使用不可信字符串作为.replace方法的第二个参数

在这种情况下，Babel生成的polyfill代码会表现出性能问题，可能被不当利用。

Lingui项目的影响范围

Lingui项目的核心组件@lingui/core依赖于@babel/runtime，因此间接受此问题影响。不过需要注意的是，Lingui项目本身只指定了Babel的最低版本约束（^7.20.12），这意味着实际安装的Babel版本由用户项目的依赖解析决定。

解决方案

对于使用Lingui的项目，建议采取以下修复措施：

1. 升级项目中的Babel核心依赖至安全版本（7.26.10或更高）
2. 重新编译所有使用Babel转译的代码

具体操作命令（根据使用的包管理器选择）：

• 使用Yarn：yarn up -R @babel/core
• 使用npm：npm update @babel/core

注意事项

1. 仅更新Babel依赖是不够的，必须重新编译代码才能完全修复问题
2. 虽然更新@babel/core不是必须的（因为它会间接更新@babel/helpers），但直接更新到7.26.10可以确保使用足够新的@babel/helpers版本
3. 目前没有已知的临时解决方案，升级是唯一可行的修复方法

最佳实践建议

1. 定期检查项目依赖的安全公告
2. 建立自动化的依赖更新机制
3. 对于关键项目，考虑锁定依赖版本并定期审查更新
4. 在CI/CD流程中加入安全扫描步骤

通过及时处理这类安全问题，可以确保基于Lingui的国际化应用保持安全稳定运行。