ApacheLog4j2是一个基于Java的日志记录组件。该组件在业务系统开发中被广泛用于记录程序输入输出的日志信息,应用广泛。大多数情况下,开发人员会将用户输入导致的错误信息写入日志。漏洞的突然披露,不仅让使用Log4j2的开发人员一夜之间“补锅”,也让框架维护人员措手不及。VolkanYaz?c?是Apache软件基金会日志记录服务的PMC成员。据他介绍,自漏洞公开以来,维护人员一直忙于缓解漏洞,修复漏洞、文档和CVE,同时回应其他人的询问。但即便如此,他们还是遭受了很多严厉的批评甚至责骂——哪怕是无偿的工作。Volkan还提到,导致该漏洞的旧函数已计划移除(该漏洞的本质是Log4j2的查找方法中存在JNDI注入),但为了保证向后兼容性而被保留。当然,对于Volkan的“向后兼容”原则,也有人有不同的看法。他表示,如果开发团队要去掉旧功能,不用犹豫,按照自己的想法去做就可以了。如果使用它的人认为旧的功能很重要,他们可以分叉该项目并自己维护它——他们需要自己付出时间、精力和金钱。Log4j2作为一个开源的底层组件,很多用户都是互联网巨头,比如谷歌、苹果、亚马逊等。从Volkan推文的评论中我们可以看到,很多人表示只知道这些高产能高利润的公司并没有对这个底层基础组件进行任何支持,甚至连维护者的报酬都是零。本文转自OSCHINA本文标题:Log4jMaintainer:为了向后兼容,导致漏洞的旧函数没有被移除
