开源框架的安全性问题,大家是如何妥善处理的

2019-08-20 21:49:05 +08:00
 areless
经常一个高危漏洞爆出来便是死一大片。旧项目一般都不会去升级框架吧?比起语言版本升级,开源框架版本升级更频繁且代码兼容性更差。。。这种解决 uri route、orm 基础问题的才是一两年经验该造的私有轮子,但是现在会自己造轮子的人越来越少,熟练使用轮子的越来越多,轮子坏了真的是有共产主义社会来修理?我想未必吧?从 thinkphp 旧版大漏洞殃及 PHP 圈就可以略见一番,很多语言在走 PHP 的老路。那么不开源写原生是唯一的解决办法了?
6301 次点击
所在节点    程序员
54 条回复
likaka
2019-08-21 08:55:32 +08:00
java 是世界上最好的语言
way2create
2019-08-21 08:59:38 +08:00
与其考虑这些,不如做好相应安全措施,选择更适合的框架,当然你要造轮子也随意,反正不是我造,我除非有必要,不然不会盲目造轮子
passerbytiny
2019-08-21 09:05:52 +08:00
买锁容易串钥匙,于是摸索自制了一把锁,殊不知小偷真正的开锁手段是板砖砸。鉴于楼主开启了“装睡”模式,此贴忽略了。
default7
2019-08-21 09:07:31 +08:00
不用 tp !!!
default7
2019-08-21 09:08:32 +08:00
@icy37785 开源软件更甚,dedecms 帝国 cms,模板漏洞分分钟攻破整个网站。
no1xsyzy
2019-08-21 09:31:20 +08:00
@areless 你分叉出来之后不给其他任何人用也是自由软件哦
另外,你以为开源里有的漏洞你不会写出类似的来吗?
你只能防个自动扫描器。
qsbaq
2019-08-21 09:55:30 +08:00
我现在在的公司就是自己造轮子。我一来就发现了注入漏洞。。。
个人感觉还是用开源靠谱,及时更新轮子靠谱。比较是集大成的东西。
liprais
2019-08-21 10:04:40 +08:00
一两年经验写 orm?
你知道 orm 是啥么.....
alphatoad
2019-08-21 10:22:31 +08:00
计算机安全问题绝大部分都是糟糕的配置和没有安全意识造成的
自己造轮子也是复刻已有的协议和算法,还更不安全
qq565999484
2019-08-21 10:33:47 +08:00
为什么。。很多人都认为自己的半吊子水平写的东西 比人家好几万 star 的开源代码要牛逼?
ben1024
2019-08-21 10:47:32 +08:00
开源更安全,假装自己的项目没有 BUG,跟闭关锁国没什么区别。
我大清乃泱泱大国
cmonkey
2019-08-21 10:52:23 +08:00
全部自研,怕是需要先拿出几个亿再说
Raymon111111
2019-08-21 11:01:46 +08:00
这么讲的

你说的"用自己的东西就算差也没人有耐心去找漏洞"这个肯定是站不住脚的

比如 SQL 注入这种可是框架无关的
gaigechunfeng
2019-08-21 11:32:49 +08:00
有轮子用还挑安全问题。信不信自己写的脸基本功能都会有问题。
哈哈哈,反正我是不会自己造轮子的。当然主要是水平不够
2kCS5c0b0ITXE5k2
2019-08-21 11:38:49 +08:00
掩耳盗铃 zzz
tabris17
2019-08-21 11:39:36 +08:00
人家微软都自己造轮子
ipwx
2019-08-21 11:40:54 +08:00
无利可图的网站,用开源框架即使有漏洞也没人关心。

有利可图的网站,即使没代码,也会分分钟被人挖出漏洞(甚至是内部人员作案)。

楼主你别乱想了,认清现实吧。
wukongkong
2019-08-21 11:45:38 +08:00
密码学的发展其实和这个类似,一开始都是私有协议,算法加密,后面无一例外都被攻破了
现在的主流方式都是算法公开,依靠严密的数学运算保证
james122333
2019-08-21 12:37:21 +08:00
因为框架要考量很多东西 自己写没这个包袱 再加上自己如果有点简洁癖
比较容易可以写出较优雅的代码 其实很多东西都是属于鸡肋类型的
除非讨厌公司 否则写出来多半没问题的
shuimugan
2019-08-21 13:52:36 +08:00
如果你懂安全,自己用框架的时候顺便审计下就行了。
如果你不懂安全,自己造一个轮子,挖你的漏洞是很简单的事情

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/593646

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX