你用Log4j 吐了吗? 反正我是吐了一个月了。
2021年11月份底,log4j官网发布了log4j的漏洞,消息一出,整个IT互联网行业几乎都是后院着火。漏洞的原理很简单,但是其危害相当于把服务器变成了一把没上锁的门。此刻我也真正的理解了为什么说黑客能hack任意一台电脑。像这样的后门漏洞在被公布之前不知道已经被利用了多少次,我们也不知道还有多少类似的漏洞未被发现。关于该漏洞的原理以及复现我相信有很多人已经介绍过了,我主要想聊一聊经历此次事件后,我们是不是得意识到某些事情是中国程序猿亟需做的。
第一,是不是得加重类似漏洞的排查? 涉及到远程执行的功能代码。底层功能一定要研究透,而驱动我们这样去做的恐怕得是国家层面。因为个人去做这个事没有太大的利益驱动。红客黑客发现此类漏洞并不一定会提交公布。目前有多少类似的后门漏洞,我们无从得知。不论我们用了多么高级的防火墙也抵不住这样的漏洞啊。
第二,我们是不是该考虑下研发自己的底层框架软件? 目前业界使用的应用软件,底层开发框架几乎都是引用国外的。然而基础框架的代码,虽然是开源的,但是去研究源码的少之又少。用自己的东西才放心。
第三,阿里云因发现此重量级bug后未及时上报工信部被罚,大家怎么看?
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
