出品|开源中国
【apache|Log4j 维护者:为向后兼容没移除导致漏洞的旧功能】文|局长
Apache Log4j2 近日被公开的在全球引起了重大影响 , Apache Log4j2 是一个基于 Java 的日志组件 。 该组件被大量用于业务系统开发 , 用来记录程序输入输出的日志信息 , 使用极为广泛 。 大多数情况下 , 开发者会将用户输入导致的错误信息写入日志中 。
此次突然被公开的漏洞不仅导致使用 Log4j2 的开发者需要连夜“补锅” , 更是让框架维护者也措手不及 。 是 Apache 软件基金会 Logging Services 的 PMC 成员 。, 自漏洞被公开后 , 维护者一直忙于缓解漏洞 , 以及修复错误、文档和 CVE , 与此同时还要回应他人的询问 。 但即便如此 , 他们还是遭受了许多严厉的批评乃至责骂——哪怕这是没有任何酬劳的工作 。
Volkan 还提到 , 此次导致漏洞的旧功能其实早已打算移除(此漏洞本质是 Log4j2 的 lookup 方法存在 JNDI 注入) , 但为了保证向后的兼容性而一直保留 。
当然也有人对 Volkan 的「向后兼容」原则有不同看法 。 他说道 , 如果开发团队想删除旧功能 , 不需要犹豫 , 按照自己的想法去做就行 。 如果使用它的人认为旧功能很重要 , 他们可以 fork 项目并自行维护 —— 自行承担时间精力和金钱成本 。
作为一个开源的底层组件 , Log4j2 的用户有不少是体量极大的互联网公司 , 诸如谷歌、苹果和亚马逊等 。 从 Volkan 推文的评论可以看到 , 不少人表示自己才知道 , 这些高市值高利润的公司并没有为这个底层基础组件投入任何支持 , 甚至维护者都是零报酬 。
- apache|如果美团外卖倒闭,对当今社会来说是利大于弊?还是弊大于利?
- apache|性能不强配色来凑,微软推出哑黑版Surface Go 3
- 安全|“网络大流感”ApacheLog4j2漏洞来袭“云上企业”如何应对?
- 2021年Apache 年度报告出炉,哪个项目的代码贡献最多
- 网络安全|2021 网络攻击同比增长 50%,Log4j 漏洞“功不可没”
- apache|华硕灵耀Pro16和联想YOGA 16s买哪个好?区别对比和选购建议帮您
- 开源|log4j 2漏洞爆发,开源软件安全治理正当时!
- log4j|当Log4j2漏洞引起广泛关注,开源组件的安全治理和云原生安全架构该怎么做?
- 小米科技|黑客利用Log4j漏洞在惠普服务器挖矿,8天挖了63万
- Log4j2事件看云原生架构演进的安全挑战和解决之道|CS devops