Apache Log4j2 近日被公開的遠程代碼執行漏洞在全球引起了重大影響，Apache Log4j2 是一個基于 Java 的日志組件。該組件被大量用于業務系統開發，用來記錄程序輸入輸出的日志信息，使用極為廣泛。大多數情況下，開發者會將用戶輸入導致的錯誤信息寫入日志中。

此次突然被公開的漏洞不僅導致使用 Log4j2 的開發者需要連夜“補鍋”，更是讓框架維護者也措手不及。Volkan Yazıcı 是 Apache 軟件基金會 Logging Services 的 PMC 成員。據他描述，自漏洞被公開后，維護者一直忙于緩解漏洞，以及修復錯誤、文檔和 CVE，與此同時還要回應他人的詢問。但即便如此，他們還是遭受了許多嚴厲的批評乃至責罵——哪怕這是沒有任何酬勞的工作。

Volkan 還提到，此次導致漏洞的舊功能其實早已打算移除(此漏洞本質是 Log4j2 的 lookup 方法存在 JNDI 注入)，但為了保證向后的兼容性而一直保留。

當然也有人對 Volkan 的「向后兼容」原則有不同看法。他說道，如果開發團隊想刪除舊功能，不需要猶豫，按照自己的想法去做就行。如果使用它的人認為舊功能很重要，他們可以 fork 項目并自行維護 —— 自行承擔時間精力和金錢成本。

作為一個開源的底層組件，Log4j2 的用戶有不少是體量極大的互聯網公司，諸如谷歌、蘋果和亞馬遜等。從 Volkan 推文的評論可以看到，不少人表示自己才知道，這些高市值高利潤的公司并沒有為這個底層基礎組件投入任何支持，甚至維護者都是零報酬。

本文轉自OSCHINA

本文標題：Log4j 維護者：為向后兼容沒移除導致漏洞的舊功能

本文地址：https://www.oschina.net/news/173273/log4j-maintainer-response