文章图片

他们直接把问题往开源平台 Github 的 issue 里一贴 ， 期待能有好心人给出解决问题得方案 。
但这是个开放平台啊 ， 有程序员同样也有黑客 。。。
这波操作等于告诉了全世界的黑客： “ 咱这软件有高危漏洞哈 ， 欢迎来捅！ ”

文章图片

甚至在漏洞全面爆发之前 ， 就已经有白客们在 issue 中公开讨论过具体的修复细节 。

文章图片

可惜的是 ， 等到所有用到使用 Log4J2 的业务系统反应过来有这个漏洞 ， 已经过去了很长一段时间了 。
因为使用 Log4J2 组件的软件实在太多 ， 所以 互联网公司的安全部门要一个个软件做修复和升级 ， 这里头的工作量也可想而知 。
目前最快的临时处理方案 ， 是在 Log4J2 做一个触发式的拦截程序 ， 类似于给系统先打上疫苗 ， 把与漏洞相关内容 ， 提前进行阻拦 ， 和防火墙的原理差不多 。
话说回来 ， 世超觉得引发这次漏洞问题的锅 ， 也不应该全由 Log4J2 的维护者来背 。
说出来你可能不信 ，像 Log4J2 这么大一个开源项目 ， 实际只靠几个程序员在业余事件来管理和维护 ， 他们本身也是用爱发电 ， 没有任何报酬的 。
来自 Volkan Yaz?c? 推特下网友们的评论 ▼

文章图片

与之相反的是 ， 包括像 苹果、谷歌、亚马逊、特斯拉在内的这些大公司 ， 都一定程度上在开心的 “ 白嫖 ” Log4J2， 毕竟开源嘛 ， 能省一点人力维护就省一点 ， 反正总会有人维护的 。。。
对于大厂开发者来说 ， 这个来自十几年前仅有数人在维护的工具 ， 只要能够完成产品 ， 那凑合用就凑合用了 ， 绝不重复造轮子 。
并且争取在出现问题之前 ， 成功跳槽 。。。
可想而知 ， 人人对于这类程序安全漏洞始终都是 “ 碰到了才明白出了问题 ” ， 谁知道整个行业都翻了车 。

文章图片

尽管事儿已经是告一段落了 ， 但这样大型的漏洞翻车事件 ， 并不是第一次 ， 也不会是最后一次发生 ， 此类的 “ 黑天鹅事件 ”， 往往是不可预估且偶发性的 。
而这一场场在网络世界中燃起的大火 ， 唯有依靠程序员们的挑灯夜战 ， 才得以熄灭 。。。
特别鸣谢：火线安全
撰文：基昊 编辑：小鑫鑫、结界
图片、资料来源：
微博：@程序员的那些事
微博：@Flanker_017
微博：@主动干饭猫
知乎：核弹级漏洞！我把log4j扒给你看！
新智元：中国程序员抢先预警「史诗」级漏洞 ， 席卷苹果特斯拉
开源中国：Log4j 维护者：为向后兼容没移除导致漏洞的旧功能
Twitter：@yazicivo

文章图片