我的世界|阿里云发现安全漏洞，但没有及时上报工信部( 二 ) 传星巴克|合作伙伴|星巴克|阿

文章插图
至于记录日志，其实是需要一个通用框架去实现的。
毕竟程序员不可能每次开发软件，都额外再搞一个日志记录器吧。
So，借助现成的日志记录框架来做开发，是十分省事省力的方法，也符合程序员“不重复造轮子”的理念。
在Java这边，Log4j就是最出名且使用最广泛的开源日志记录框架。
小到个人开发，大到苹果谷歌微软，在做Java开发时都会用上Log4j。
没办法，虽然人家功能齐全，查起错误来够方便呢。
但是越多人用，Log4Shell漏洞的危害就越大，大伙看完下面这张图估计就懂了。
国内外的互联网大厂所开发的软件，底层都保留了开源的Log4j框架，如果哪天这个框架出了问题，整个软件都会随之坍塌。
这就很好解释了，为啥大厂们遇到这事儿都慌得一批。

文章插图
Log4Shell漏洞能如此变态，并不是因为漏洞本身足够复杂，让安全保护机制一头雾水。
相反，它实在TM太容易被触发了，适用范围还贼广，任何软件都可以将其嵌入到底层使用。
不过小雷也确实纳闷，这么开源框架可是全世界都在用的，为啥安全性不搞好点呢？
仔细想想，开发和安全性其实是两回事儿。
作为开源项目，开发和维护Log4j框架压根就不赚钱，开发者都是在工作之余花时间去维护。
【 我的世界|阿里云发现安全漏洞，但没有及时上报工信部】有时候甚至穷得要在推特上找用户掏钱赞助。

文章插图
虽然漏洞被曝出来后，Log4j的几位开发者已经在尽力修复，并推出了最新的修复版本。
但比起大厂们当天就能修复的神级速度，作为官方维护者的它们，速度还算是慢的。
一方面是因为维护人力确实有限，另一方面则是财力上的巨大差距。

文章插图
世界上所有伟大的商业软件，都离不开开源软件的支持，就像安卓离不开Linux，iOS离不开FreeBSD。
但回过头来，开源项目也因为没有足够的人力物力，导致使用起来难用和稳定性差。
大厂们虽然也会派员工去参与代码维护，但大多数情况下都是能白嫖就白嫖，反正以大厂的反应能力，出了问题也能光速修复。
商业软件享受了开源代码带来的好处，但出现问题带来的损失和谩骂，几乎是开源项目的维护者在承受。

文章插图
再聊回阿里云这次做得不对的地方。
阿里云的安全技术人员在11月就发现了这个漏洞，也确实很快就报告了给apache软件基金会。
这个操作没问题，毕竟Log4j是Apache旗下的开源项目。
但在发现漏洞后，阿里云居然没有尽快向工信部报告，在代码界，漏洞上报的及时性是很重要的。
然而，从阿里云上报漏洞到Apache，到工信部得知漏洞，这中间隔了足足有十几天。

文章插图
好家伙，这十几天都足够小雷在网上吃遍今年所有的瓜了。
如果黑客别有用心，利用这漏洞窃取资料造成巨大损失，这算不算是阿里云的锅？
目前阿里云也对这事儿作出看回应，表示是当时没有意识到漏洞的严重性，才导致最终未及时上报。

文章插图
不过怎么说，阿里云确实没遵守《网络产品安全漏洞管理规定》，被取消合作伙伴资格6个月的事实也板上钉钉。
希望在这次事件发生后，大厂们都能更加重视开源项目的安全性吧。
总不能只顾着白嫖，不帮开源项目的开发者分担下维护压力呀。