@runzekk 你的观点有一个误区。对国内开源的支持是没问题的，生产环境尽量谨慎使用开源库也是没有问题的，这两者本身就可以是不同场景。
生产环境比起对开源的支持，首先是要对公司负责，就像我楼上提到的例子，hutool 某些版本确实存在一些可能导致线上服务器问题的 bug 。这种时候，“自己觉得 hutool 不好不如考虑下加入开源一起维护”这个观点完全就属于是本末倒置了，因为你首先要做的是保证线上环境的稳定。（而且也不是说不能用 hutool ，是指要用的话，就要定期检查是否存在重大漏洞修复）

对待这个问题不能二极管，hutool 确实能够给开发带来便利，但是这并不影响在没有严格的三方库风险控制的情况下，尽量别用 hutool 上正式环境。如果是个人项目，怎么用都行。这本来就不是一个 hutool 到底好不好用的问题，而是一个在生产环境引用是否具有潜在风险的问题。单纯说好用，我也觉得好用。

说一个很多人都没提到的点吧：

比较知名的开源库一旦出问题，你获取这个问题的信息渠道会比用国内的开源库广很多。
例如 log4j 一出问题，业内铺天盖地都是转发，绝大部分时候都能在线上出问题之前进行升级。
国内的一些开源库如果存在某些漏洞，基本只会在你自己的产品线上出问题了，你才可能搜到，这也是为什么不推荐在线上环境使用的原因。

如果要用，就要自己做好对该库的信息跟踪，如果引入一次 maven 就不管了，那只会变成屎山里的一坨。

我上面说的我司踩过的坑
https://github.com/dromara/hutool/issues/2812
参考这个问题。
开源不是不能用，但是用了我相信绝大部分人不会每次都跟进最新版本的变化，修复了什么漏洞。
在这种情况下，生产环境我个人是不建议使用的。