Apache Log4j2 近日被公開的遠(yuǎn)程代碼執(zhí)行漏洞在全球引起了重大影響，Apache Log4j2 是一個基于 Java 的日志組件。該組件被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄程序輸入輸出的日志信息，使用極為廣泛。大多數(shù)情況下，開發(fā)者會將用戶輸入導(dǎo)致的錯誤信息寫入日志中。

此次突然被公開的漏洞不僅導(dǎo)致使用 Log4j2 的開發(fā)者需要連夜“補(bǔ)鍋”，更是讓框架維護(hù)者也措手不及。Volkan Yazıcı 是 Apache 軟件基金會 Logging Services 的 PMC 成員。據(jù)他描述，自漏洞被公開后，維護(hù)者一直忙于緩解漏洞，以及修復(fù)錯誤、文檔和 CVE，與此同時還要回應(yīng)他人的詢問。但即便如此，他們還是遭受了許多嚴(yán)厲的批評乃至責(zé)罵——哪怕這是沒有任何酬勞的工作。

Volkan 還提到，此次導(dǎo)致漏洞的舊功能其實(shí)早已打算移除(此漏洞本質(zhì)是 Log4j2 的 lookup 方法存在 JNDI 注入)，但為了保證向后的兼容性而一直保留。

當(dāng)然也有人對 Volkan 的「向后兼容」原則有不同看法。他說道，如果開發(fā)團(tuán)隊想刪除舊功能，不需要猶豫，按照自己的想法去做就行。如果使用它的人認(rèn)為舊功能很重要，他們可以 fork 項(xiàng)目并自行維護(hù) —— 自行承擔(dān)時間精力和金錢成本。

作為一個開源的底層組件，Log4j2 的用戶有不少是體量極大的互聯(lián)網(wǎng)公司，諸如谷歌、蘋果和亞馬遜等。從 Volkan 推文的評論可以看到，不少人表示自己才知道，這些高市值高利潤的公司并沒有為這個底層基礎(chǔ)組件投入任何支持，甚至維護(hù)者都是零報酬。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Log4j 維護(hù)者：為向后兼容沒移除導(dǎo)致漏洞的舊功能

本文地址：https://www.oschina.net/news/173273/log4j-maintainer-response