提高 Web 开发的安全意识

背景

上周公司针对 Fastjson 低版本的 0day 漏洞问题，发布了排查通知，要求各项目组检查已发布的产品是否有 0day 漏洞风险，并提供升级包。这是我入职以来遇到的第二次漏洞升级事件，第一次是 Tomcat 的低版本的 “CVE-2018-1305” 漏洞。

0day 漏洞

来自百度百科的解释：

0day 漏洞 最早的破解是专门针对软件的，叫做 WAREZ，后来才发展到游戏，音乐，影视等其他内容的。0day 中的 0 表示 zero，早期的 0day 表示在软件发行后的 24 小时内就出现破解版本，现在我们已经引申了这个含义，只要是在软件或者其他东西发布后，在最短时间内出现相关破解的，都可以叫 0day。 0day 是一个统称，所有的破解都可以叫 0day。

原来是这个意思，只是一个统称而已。

Fastjson 的漏洞问题

说来惭愧，以前搭建项目框架都是直接将旧项目的 lib 包拷贝到新项目，SpringMVC 项目框架搭建也是如此，所有用到的组件版本都特别老，也没有关注过它们的新特征。

我们在项目中使用的是 fastjson-1.2.7.jar 这个版本，而目前该组件的最新版本都已经是 1.2.58 了，迭代速度之快，让我这个从未关注组件升级的人感叹不已：固守旧的技术库，裹足不前是不行的啦！

Fastjson 中的漏洞是怎么回事呢？找到了一篇详细复现漏洞的文章，点击这里查看 。

漏洞解决方案是升级到最新版本 1.2.58 。

启示录

从项目开发的角度来看，没有完美的产品版本，bug 是层出不穷的，所以不难理解为什么开源组件的新版本迭代速度特别快了。

对于普通开发者而已，提高 Web 开发的安全意识，定期关注项目中使用的组件的新版本特性，为我们的产品增加一份安全保障，这份责任心是很重要的。