阿里云真是无妄之灾

liaohongxing

我自己就是程序员，每天在工作过程中都会用到国外的基础组件, log4j2 这个组件是一个日志显示打印组件，java程序一般用 springboot 框架编码 ，springboot 又是国外的，springboot 底层用到了 log4j2 打印日志， 一般低端程序员不会关注这个组件，如果我 发现BUG随手给框架（组件）提个PR(补丁)是很正常的操作，提交补丁后要等主线人员审核合并，一般人并没有这个合并权限。我用了谁的东西，给谁报告是很正常合理的

如果发现个 BUG都要上报工信部，我一天不干事了。整天就写这些BUG书面报告 。没个书面报告还想提交工信部。看人家鸟不鸟你。只有那些专注于卖安全服务的才会主动去搞这些。比如 360 。发现个漏洞坑定要吹一波 。好卖安全服务。阿里私营企业，不卖安全，下属程序员随手修个漏洞，没有必要上升到卖国程度。但是阿里参与了信息共享单位 ，这个事件是阿里违反了合作约定，就应该用罚款等方式处罚阿里，而不应该用这种中止合作的两败俱伤的方式，本来就没有动力提交漏洞。还要花费额外的人力搞这些，你还主动切断 。

有时候想一想 ，没有发现提交这个漏洞大家相安无事