说在前头

大半夜看到新闻,大概意思是“阿里发现Log4j的漏洞后率先告知了美国的阿帕奇软件基金会,未及时向电信主管部门报告”

好像很早之前就有,但话题还没发酵的这么厉害,没看到,今天看到了感觉不太对劲,就来说说个人看法

首先这篇文章不是给阿里洗白,只针对以上论述进行探讨

个人看法

从一个程序员的角度看,我认为这个论述是有点奇怪的,以下几点

1. 程序的BUG反馈

对于一个程序员来说,使用别人或别的组织的程序时发现了问题,一般情况下有两个选择

  1. 向开发者或组织反馈问题,等待对方确认和修复(Issue)
  2. 如果是开源可以自己修复问题并提交到开源项目中(Pull Request)

比如以下是我的一个开源项目中,用户给我提的BUG反馈,以及我确认修复后关闭的反馈

再比如我发现了别人项目的问题,修复并提交到他的项目中

个人猜测阿里为什么要先联系阿帕奇软件基金会?

因为他们是Log4j的开发组织,问题的确认及修复会更快

个人猜测阿里为什么会未及时向电信主管部门报告?

可能是我见识短,我猜测是一个开源软件出了严重的BUG,需要第一时间上报给电信主管部门的先例,很少

或者说因为没有上报被曝出来的,很少。我是没怎么听说过

2. 开源项目和组织

Log4j是个开源项目,开源协议是Apache-2.0 License

开源就意味着这个软件不属于任何一个人或者国家,而是属于整个开源社区(个人理解),每个人都可以是作者之一

所以很多文章特意强调了“美国”,只能说是一个噱头。虽然阿帕奇软件基金会确实是美国的,我不否认

3. 这可是提交了一个BUG啊!

这可是提交了一个BUG啊!又不是提交了国家机密!

个人认为,阿里只是之前的一些事上引起了大众的反感(违反《反垄断法》之类的)

但如果单看这件事上,说阿里的技术团队是“吹哨人”都不为过。国内外的软件应用、整个开源社区都得到了止损