V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yedanten
V2EX  ›  Java

spring framework 的更新日志太掩耳盗铃了吧

  •  
  •   yedanten · 2022-04-02 08:37:07 +08:00 via Android · 4997 次点击
    这是一个创建于 995 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Restrict access to property paths on Class references 竟然把这个放在 new feature 分类。怎么死都不承认安全漏洞么。 不说是修复安全漏洞就算了 放修复 bug 里都不愿意了嘛

    21 条回复    2022-04-19 10:21:55 +08:00
    Cbdy
        1
    Cbdy  
       2022-04-02 08:51:05 +08:00
    Bug❌
    Feature✅
    chendy
        2
    chendy  
       2022-04-02 08:51:07 +08:00
    建议直接去他们仓库开 issue 怼
    huang119412
        3
    huang119412  
       2022-04-02 08:51:09 +08:00   ❤️ 4
    Java 节点是中毒了吗,一个漏洞天天在这炒作,吸引眼球。你去看看 linux 多少漏洞,漏洞又怎么修复的。你觉得有问题,你直接去提 issue ,或者去找官方人员啊。
    qrobot
        4
    qrobot  
       2022-04-02 09:06:52 +08:00
    - 提 issue ❌
    - 发 V2EX 提高热度 ✅
    mscsky
        5
    mscsky  
       2022-04-02 09:12:54 +08:00
    只是因为是中国这边发现的吧
    nothingistrue
        6
    nothingistrue  
       2022-04-02 09:18:20 +08:00
    漏洞是漏洞,BUG 是 BUG ,这俩本来就不一样。

    此外 Spring 的跟踪系统,不管是以前的 JIRA 还是现在的 Github ISSUE ,都是跟踪 ISSUE 而非 BUG ,这本是就是不把 BUG 当负面性的跟踪系统。“零 BUG”是部分国人的专属态度,不管是 ISO ,还是 CMMI ,还是纯敏捷,都不要求这个态度。
    rozbo
        7
    rozbo  
       2022-04-02 10:06:05 +08:00   ❤️ 5
    其实是你自己理解有偏差吧,bug 是因为自身逻辑有误,这种一般可以叫 fix ,漏洞是因为其他外部因素,然后自己修补的话实质上是一个新的特性,本来就是叫 feat
    aptupdate
        8
    aptupdate  
       2022-04-02 10:10:48 +08:00 via iPhone
    @rozbo 合理。
    neptuno
        9
    neptuno  
       2022-04-02 11:12:29 +08:00 via iPhone
    不算 bug ,但说是 feature 也说不过去
    yzkcy
        10
    yzkcy  
       2022-04-02 12:56:17 +08:00   ❤️ 5
    有些 v2er 真是够搞孝的,漏洞还能找补成 feature ,那怎么 fastjson 就在 v 站都被骂成 bugjson 呢?
    bthulu
        11
    bthulu  
       2022-04-02 14:28:54 +08:00
    @yzkcy fastjson 是中国人写的啊, 如果是台湾人写的那就不一样了
    yazinnnn
        12
    yazinnnn  
       2022-04-02 14:33:39 +08:00   ❤️ 1
    捏麻麻地,v2 用户是怎么搞的,啥话题都能政治化 /扣帽子,以后也别瞎几把喊梦回文革了,先撒泡尿照照自己吧
    yedanten
        13
    yedanten  
    OP
       2022-04-02 14:39:11 +08:00 via Android
    @neptuno 确实不算 bug ,本来以为会分类到 security fix
    翻了一下都没有这种分类,如果丢到 bug fix 里也能接受,往 new feature 里放就觉得是打死不想承认问题,只要我不承认,那就问题
    yedanten
        14
    yedanten  
    OP
       2022-04-02 14:40:44 +08:00 via Android
    @bthulu 别带歪节奏,吐槽归吐槽,别突然扯上地域政治问题啊
    u823tg
        15
    u823tg  
       2022-04-02 20:57:37 +08:00
    这叫不要脸,骂他
    ```
    ⭐ New Features

    Restrict access to property paths on Class references #28261
    Introduce cancel(boolean mayInterruptIfRunning) in ScheduledTask #28233

    🐞 Bug Fixes

    Move off deprecated API in SessionTransactionData #28234

    ```
    phithon
        16
    phithon  
       2022-04-03 16:55:51 +08:00
    更新日志确实没写清楚,猜测原因是防止在漏洞发布前被人利用(虽然已经被人利用了,所以并没有卵用)
    不过官方也并没有不承认,还是发布了漏洞的通知的:

    - https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
    - https://tanzu.vmware.com/security/cve-2022-22965
    ThreeK
        17
    ThreeK  
       2022-04-07 10:48:08 +08:00
    @yzkcy fastjson 就是垃圾,别人再有问题也不影响他是垃圾。换个其他的国产开源举例子。
    Joker123456789
        18
    Joker123456789  
       2022-04-12 10:20:53 +08:00
    @ThreeK 你的内心深处无非就是想表达:“老子用的是 jackson ,gson 等,国外都很流行,你们这帮土鳖只会用国产的,我跟你们不一样,我很个性”

    真的很看不惯你这种自以为是的性格。

    有漏洞的东西那么多,为什么就 fastjson 成垃圾了? 你自己写的项目 没 bug 吗? 那测试是不是也可以说 你的代码是垃圾?
    ThreeK
        19
    ThreeK  
       2022-04-19 10:13:52 +08:00
    @Joker123456789 我上边说的这么举个例子吧,别拿男足代表中国的体育。 和流不流行没啥关系,项目里将常出现 jackson
    ThreeK
        20
    ThreeK  
       2022-04-19 10:21:22 +08:00
    @ThreeK 一个换行直接出去了,补充一下 。

    和流不流行没啥关系,项目里将常出现 jackson 和 fastjson 都有的情况。好用就用呗,没非要不一样,个性。

    定义为《自以为是》,那《自以为是》这个就不改了,任人说。

    还是替换男足,非男足的比赛输了,为啥别人大家都是说已经尽力了不容易,为啥不骂那?( ps 不止测试不满意我的代码,后边接过去的也会吐槽)
    ThreeK
        21
    ThreeK  
       2022-04-19 10:21:55 +08:00
    @ThreeK 一个换行直接出去了,补充一下 。

    项目里将常出现 jackson 和 fastjson 都有的情况。好用就用呗,没非要不一样,个性。

    定义为《自以为是》,那《自以为是》这个就不改了,任人说。

    还是替换男足,非男足的比赛输了,为啥别人大家都是说已经尽力了不容易,为啥不骂那?( ps 不止测试不满意我的代码,后边接过去的也会吐槽)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1038 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 18:20 · PVG 02:20 · LAX 10:20 · JFK 13:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.