V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
Akiya
V2EX  ›  程序员

这次 log4j2 安全漏洞会不会带来使用商用库的风潮?

  •  
  •   Akiya · 2021-12-20 13:43:27 +08:00 · 5646 次点击
    这是一个创建于 1104 天前的主题,其中的信息可能已经有所发展或是发生改变。

    暴露出来几个问题:

    1. 对于一个高危漏洞来说,修复太慢 image

    2. 开源贡献者并没有得到与其责任匹配的报酬

    image

    如果使用商业库的话,虽然会增加一定的成本,但是可以要求其在非常短的时间内进行响应,因修复不及时造成损失的话也可以根据合同进行赔偿

    40 条回复    2021-12-22 14:59:06 +08:00
    TtTtTtT
        1
    TtTtTtT  
       2021-12-20 13:46:51 +08:00
    不会。
    掰掰手指就知道开发一个库、购买一个库、使用开源库,哪个的 ROI 比较高。
    murmur
        2
    murmur  
       2021-12-20 13:49:35 +08:00   ❤️ 10
    商用库的修复未必就快
    而且这次很多人是没被攻击就看到修复通知了
    商用的可能被黑你还没发现呢
    sunus
        3
    sunus  
       2021-12-20 13:50:01 +08:00   ❤️ 1
    @Akiya 你或者你现在的公司愿意为一个商用的日志库每年付多少钱?
    daysv
        4
    daysv  
       2021-12-20 13:57:05 +08:00   ❤️ 4
    别把商用太当回事, 大概率代码还不如开源
    chendy
        5
    chendy  
       2021-12-20 14:02:30 +08:00   ❤️ 9
    快进到 log4jb 绿色破解硬盘纯净免安装版
    someonedeng
        6
    someonedeng  
       2021-12-20 14:04:12 +08:00
    @daysv 但是能有人背锅呀
    murmur
        7
    murmur  
       2021-12-20 14:04:39 +08:00
    @someonedeng 这次 log4j 事件不是很多云也号称第一时间拦截了么,所以还是得花钱
    RudyS
        8
    RudyS  
       2021-12-20 14:06:35 +08:00
    除非没有白嫖可以用
    alexkkaa
        9
    alexkkaa  
       2021-12-20 14:07:48 +08:00 via Android   ❤️ 1
    国外不知道 就国内这帮老板的水平 啧啧啧
    hahastudio
        10
    hahastudio  
       2021-12-20 14:10:12 +08:00   ❤️ 1
    商业公司要是倒闭了不卖了依然会变成一个烂摊子,除非到时候开源不然可能修都没法修
    justfly
        11
    justfly  
       2021-12-20 14:11:39 +08:00
    快速发现问题显然是开源库的优点
    Felldeadbird
        12
    Felldeadbird  
       2021-12-20 14:16:53 +08:00   ❤️ 1
    不会。以我司最近外购国内某知名软件。

    三天两头他们的 MSSQL 服务器就崩溃了。 公司周末都没人上班,外购的软件数据库都可以崩溃。

    还不如公司自家用的 MYSQL 稳定。出问题马上找到方案。
    Akiya
        13
    Akiya  
    OP
       2021-12-20 14:18:35 +08:00
    @murmur 对于商用库来说,修复不及时可能就意味着合同不会续签,所以开发者有理由去迅速修复而且也能获得回报
    @daysv 对于代码库我了解的不多,但是对于大部分软件来说,商业的基本上比开源的质量高,不然别人不用卖了
    @justfly 快速发现问题是一方面,但是能不能修复问题也是很重要的因素
    LoNeFong
        14
    LoNeFong  
       2021-12-20 14:20:22 +08:00
    商用库就没有 bug 么(-
    2i2Re2PLMaDnghL
        15
    2i2Re2PLMaDnghL  
       2021-12-20 14:24:31 +08:00   ❤️ 2
    林纳斯定律:足够多的眼睛,就可让所有问题浮现

    合理的方案是使用开源库并找个第三方进行维(bei)护(guo)
    shyangs
        16
    shyangs  
       2021-12-20 14:28:09 +08:00
    資料庫怎麼不用 Oracle,
    而喜歡免費的 MySQL?
    MacDows
        17
    MacDows  
       2021-12-20 14:33:04 +08:00 via Android   ❤️ 1
    你要求对面担多大责任,对面就把售价提高到多少
    msg7086
        18
    msg7086  
       2021-12-20 15:08:31 +08:00   ❤️ 3
    > 根据合同进行赔偿

    商业公司:懂了,这就加入免责条款。
    xiao109
        19
    xiao109  
       2021-12-20 15:17:12 +08:00
    开源贡献者没有得到报酬跟使用者有什么关系?这不正好说明使用开源库的成本之低嘛
    mxT52CRuqR6o5
        20
    mxT52CRuqR6o5  
       2021-12-20 15:18:03 +08:00   ❤️ 1
    @Akiya 底层的库哪有那么好换,项目成型后就只能一直硬着头皮用下去了,根本就不会有这种 [修复不及时可能就意味着合同不会续签] 理想状态
    Chad0000
        21
    Chad0000  
       2021-12-20 15:18:05 +08:00 via iPhone
    @justfly #11 这个同样适用于黑客,快速发现漏洞。
    zxcslove
        22
    zxcslove  
       2021-12-20 15:25:03 +08:00   ❤️ 1
    这是需要保险公司推出漏洞险?
    zxxufo008
        23
    zxxufo008  
       2021-12-20 15:38:45 +08:00
    这次不是好多商用软件也用的是开源的 log4j2 吗..
    dndx
        24
    dndx  
       2021-12-20 16:00:20 +08:00
    拉倒吧,商用库也不见得就好到哪里去,而且修复周期只会更长。很多所谓的 “商用” 库优势仅限于用的人少黑客懒得去研究。
    NGGTI
        25
    NGGTI  
       2021-12-20 16:04:14 +08:00
    不会,很多商用软件同样使用着大量的开源库。
    sujin190
        26
    sujin190  
       2021-12-20 16:43:41 +08:00
    想太多,这么多公司估计比这漏洞大的多了去了,还不是照样用的好好的,小公司名不见经传的,漏洞不漏洞的谁理你啊,项目做三月发现毛用没有的倒是挺多,大公司就那么几个,这种就算自己搞个估计都不会去买,而且商业库也会有漏洞的吧,说不定更多
    Jooooooooo
        27
    Jooooooooo  
       2021-12-20 17:45:56 +08:00
    商用的可能是交钱再修复.
    midtin
        28
    midtin  
       2021-12-20 17:57:45 +08:00
    @Akiya 商业用的质量还真不一定比开源的质量高,甚至大部分可能比开源的质量还要差,特别是不卖源码的。现在商业软件主要的卖开源无法涵盖的功能点或者技术支持服务。

    而且这些商业软件多多少少会都上开源库,哪还有百分百自造轮子的软件
    gengchun
        29
    gengchun  
       2021-12-20 21:16:37 +08:00
    @Akiya 红帽的模式就是上游已经没有维护的,也会及时修复。愿意为这类服务付费的,不会不在乎开源不开源,或者是不是商用库,他们买的就是商业服务。有专人修复漏洞,可以接触最新的 0day 库,所以最直接的客户是不会在乎什么商用、闭源这种破事的。

    至于红帽这些,你要是一年到头,嘛事都没有,客户难道不会觉得这钱是白花的吗?开源成本低,又可以突显安全运维的价值和商用发行版的价值,即然如此,商用解决方案的提供者就算关心这些基础库,投入肯定也是有个限度的。反正有事,正好可以定突现一下自己的价值。
    agagega
        30
    agagega  
       2021-12-20 21:22:21 +08:00   ❤️ 1
    我想起之前论坛里时不时有人出来说,开源让程序员没饭吃了,程序员是傻子,自掘坟墓。然而事实是,如果没有开源技术,别说没饭吃了,饭碗都没得有。
    iluckypig
        31
    iluckypig  
       2021-12-20 21:40:22 +08:00
    商业的估计还不如开源的呢
    exiledkingcc
        32
    exiledkingcc  
       2021-12-21 10:33:06 +08:00
    除了专业领域或者硬件相关,商用库大概率不如开源库。
    daysv
        33
    daysv  
       2021-12-21 11:25:21 +08:00
    @Akiya 年轻的孩子.
    huruwo
        34
    huruwo  
       2021-12-21 16:29:25 +08:00
    商业库?大概率是什么开源库改个皮然后闭源骗钱。
    crclz
        35
    crclz  
       2021-12-22 00:40:55 +08:00
    商用防火墙会成为需要。大厂都是直接用防火墙拦截疑似攻击数据,然后再催促大家显示升级库版本。

    另外,同样是开源,微软的开源质量就会高很多。不能把社区开源和商业公司开源混为一谈。
    secondwtq
        36
    secondwtq  
       2021-12-22 01:04:36 +08:00
    讲真,就代码质量来说,暂时还没见过比一线开源项目平均值还高的商业项目 ...
    都是屎山,五十步笑百步而已
    AlynxZhou
        37
    AlynxZhou  
       2021-12-22 11:37:21 +08:00
    @chendy

    > 快进到 log4jb 绿色破解硬盘纯净免安装版

    快进到 X 大出品必属精品回复可见
    AlynxZhou
        38
    AlynxZhou  
       2021-12-22 11:40:53 +08:00
    @Akiya

    > 对于代码库我了解的不多,但是对于大部分软件来说,商业的基本上比开源的质量高,不然别人不用卖了

    了解的不多就不要妄下判断,我就问你,你怎么证明你说的“商业的基本上比开源的质量高”?这不是一件“你觉得”就够了的事情,你都看不见商业软件的代码,根本没法证明你这个结论。不要觉得你看不到问题问题就不存在,解决问题的第一步首先得是能发现问题吧?
    Akiya
        39
    Akiya  
    OP
       2021-12-22 13:52:52 +08:00 via iPhone
    @AlynxZhou 你说的也有道理。这个不是我觉得的问题,就拿 Orcale 和 MySQL 来说,如果商用软件功能比开源少,性能比开源差,安全性比开源低,那必然卖不出去
    yuezk
        40
    yuezk  
       2021-12-22 14:59:06 +08:00
    @Akiya #39 也有可能是迁移成本太高
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2479 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 04:12 · PVG 12:12 · LAX 20:12 · JFK 23:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.