也谈史诗级漏洞Log4J2的Log4shell

2022-11-19 10:24:36 浏览数 (1)

12月9日,Apache Log4J2爆出了第一个高危漏洞。

12月12日,修复后的2.15.0版本出现另外一个载体漏洞

12月15日,2.15.0爆出第三漏洞。

虽然以及过去了十几天,但是漏洞依然肆虐。这导致了这些用惯了开源软件,而不付费的那些大公司,其中还不乏微软,谷歌,阿里,腾讯这种体量型的公司的骂声一片。

Log4j2 维护者只有几个人,他们无偿、自愿地工作,没有人发工资,也没人提交代码修复问题,出了问题还要被一堆人留言痛骂。——Volkan Yazici

这是Log4J2的维护者的留言。

这些大公司多年来白嫖所谓的开源软件,而不用承担任何费用和责任。但是一旦出了问题,就把责任推到免费为他们开发和维护的开源软件的作者身上。

只有三个人赞助的Log4j2框架。之后突然增加了一个人,变成了四个人赞助的开源软件。却支撑了世界级的应用。

Apache软件基金会Logging Services的PMC成员Volkan Yazıcı在Twitter表示,自漏洞爆发以来以来,项目维护成员马不停蹄地进行错误修复、文档和CVE、及相关回应,尽管他们免费地没有获取任何报酬地去努力修复,但仍然遭到了不少抨击指责。

0 人点赞