spring framework 的更新日志太掩耳盗铃了吧

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 959 天前的主题，其中的信息可能已经有所发展或是发生改变。

Restrict access to property paths on Class references 竟然把这个放在 new feature 分类。怎么死都不承认安全漏洞么。不说是修复安全漏洞就算了放修复 bug 里都不愿意了嘛

21 条回复 • 2022-04-19 10:21:55 +08:00

Cbdy

2022-04-02 08:51:05 +08:00

Bug❌
Feature✅

chendy

2022-04-02 08:51:07 +08:00

建议直接去他们仓库开 issue 怼

huang119412

2022-04-02 08:51:09 +08:00

Java 节点是中毒了吗，一个漏洞天天在这炒作，吸引眼球。你去看看 linux 多少漏洞，漏洞又怎么修复的。你觉得有问题，你直接去提 issue ，或者去找官方人员啊。

qrobot

2022-04-02 09:06:52 +08:00

- 提 issue ❌
- 发 V2EX 提高热度 ✅

mscsky

2022-04-02 09:12:54 +08:00

只是因为是中国这边发现的吧

nothingistrue

2022-04-02 09:18:20 +08:00

漏洞是漏洞，BUG 是 BUG ，这俩本来就不一样。

此外 Spring 的跟踪系统，不管是以前的 JIRA 还是现在的 Github ISSUE ，都是跟踪 ISSUE 而非 BUG ，这本是就是不把 BUG 当负面性的跟踪系统。“零 BUG”是部分国人的专属态度，不管是 ISO ，还是 CMMI ，还是纯敏捷，都不要求这个态度。

rozbo

2022-04-02 10:06:05 +08:00

其实是你自己理解有偏差吧，bug 是因为自身逻辑有误，这种一般可以叫 fix ，漏洞是因为其他外部因素，然后自己修补的话实质上是一个新的特性，本来就是叫 feat

aptupdate

2022-04-02 10:10:48 +08:00 via iPhone

@rozbo 合理。

neptuno

2022-04-02 11:12:29 +08:00 via iPhone

不算 bug ，但说是 feature 也说不过去

yzkcy

2022-04-02 12:56:17 +08:00

有些 v2er 真是够搞孝的，漏洞还能找补成 feature ，那怎么 fastjson 就在 v 站都被骂成 bugjson 呢？

bthulu

2022-04-02 14:28:54 +08:00

@yzkcy fastjson 是中国人写的啊, 如果是台湾人写的那就不一样了

yazinnnn

2022-04-02 14:33:39 +08:00

捏麻麻地，v2 用户是怎么搞的，啥话题都能政治化 /扣帽子，以后也别瞎几把喊梦回文革了，先撒泡尿照照自己吧

yedanten

2022-04-02 14:39:11 +08:00 via Android

@neptuno 确实不算 bug ，本来以为会分类到 security fix
翻了一下都没有这种分类，如果丢到 bug fix 里也能接受，往 new feature 里放就觉得是打死不想承认问题，只要我不承认，那就问题

yedanten

2022-04-02 14:40:44 +08:00 via Android

@bthulu 别带歪节奏，吐槽归吐槽，别突然扯上地域政治问题啊

u823tg

2022-04-02 20:57:37 +08:00

这叫不要脸，骂他
```
⭐ New Features

Restrict access to property paths on Class references #28261
Introduce cancel(boolean mayInterruptIfRunning) in ScheduledTask #28233

🐞 Bug Fixes

Move off deprecated API in SessionTransactionData #28234

```

phithon

2022-04-03 16:55:51 +08:00

更新日志确实没写清楚，猜测原因是防止在漏洞发布前被人利用（虽然已经被人利用了，所以并没有卵用）
不过官方也并没有不承认，还是发布了漏洞的通知的：

- https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
- https://tanzu.vmware.com/security/cve-2022-22965

ThreeK

2022-04-07 10:48:08 +08:00

@yzkcy fastjson 就是垃圾，别人再有问题也不影响他是垃圾。换个其他的国产开源举例子。

Joker123456789

2022-04-12 10:20:53 +08:00

@ThreeK 你的内心深处无非就是想表达：“老子用的是 jackson ，gson 等，国外都很流行，你们这帮土鳖只会用国产的，我跟你们不一样，我很个性”

真的很看不惯你这种自以为是的性格。

有漏洞的东西那么多，为什么就 fastjson 成垃圾了？你自己写的项目没 bug 吗？那测试是不是也可以说你的代码是垃圾？

ThreeK

2022-04-19 10:13:52 +08:00

@Joker123456789 我上边说的这么举个例子吧，别拿男足代表中国的体育。和流不流行没啥关系，项目里将常出现 jackson

ThreeK

2022-04-19 10:21:22 +08:00

@ThreeK 一个换行直接出去了，补充一下。

和流不流行没啥关系，项目里将常出现 jackson 和 fastjson 都有的情况。好用就用呗，没非要不一样，个性。

定义为《自以为是》，那《自以为是》这个就不改了，任人说。

还是替换男足，非男足的比赛输了，为啥别人大家都是说已经尽力了不容易，为啥不骂那？（ ps 不止测试不满意我的代码，后边接过去的也会吐槽）

ThreeK

2022-04-19 10:21:55 +08:00

@ThreeK 一个换行直接出去了，补充一下。

项目里将常出现 jackson 和 fastjson 都有的情况。好用就用呗，没非要不一样，个性。

定义为《自以为是》，那《自以为是》这个就不改了，任人说。

还是替换男足，非男足的比赛输了，为啥别人大家都是说已经尽力了不容易，为啥不骂那？（ ps 不止测试不满意我的代码，后边接过去的也会吐槽）