这次 log4j2 安全漏洞会不会带来使用商用库的风潮？

@justfly #11 这个同样适用于黑客，快速发现漏洞。

这是需要保险公司推出漏洞险？

这次不是好多商用软件也用的是开源的 log4j2 吗..

拉倒吧，商用库也不见得就好到哪里去，而且修复周期只会更长。很多所谓的 “商用” 库优势仅限于用的人少黑客懒得去研究。

不会，很多商用软件同样使用着大量的开源库。

想太多，这么多公司估计比这漏洞大的多了去了，还不是照样用的好好的，小公司名不见经传的，漏洞不漏洞的谁理你啊，项目做三月发现毛用没有的倒是挺多，大公司就那么几个，这种就算自己搞个估计都不会去买，而且商业库也会有漏洞的吧，说不定更多

商用的可能是交钱再修复.

@Akiya 商业用的质量还真不一定比开源的质量高，甚至大部分可能比开源的质量还要差，特别是不卖源码的。现在商业软件主要的卖开源无法涵盖的功能点或者技术支持服务。

而且这些商业软件多多少少会都上开源库，哪还有百分百自造轮子的软件

@Akiya 红帽的模式就是上游已经没有维护的，也会及时修复。愿意为这类服务付费的，不会不在乎开源不开源，或者是不是商用库，他们买的就是商业服务。有专人修复漏洞，可以接触最新的 0day 库，所以最直接的客户是不会在乎什么商用、闭源这种破事的。

至于红帽这些，你要是一年到头，嘛事都没有，客户难道不会觉得这钱是白花的吗？开源成本低，又可以突显安全运维的价值和商用发行版的价值，即然如此，商用解决方案的提供者就算关心这些基础库，投入肯定也是有个限度的。反正有事，正好可以定突现一下自己的价值。

我想起之前论坛里时不时有人出来说，开源让程序员没饭吃了，程序员是傻子，自掘坟墓。然而事实是，如果没有开源技术，别说没饭吃了，饭碗都没得有。

商业的估计还不如开源的呢

除了专业领域或者硬件相关，商用库大概率不如开源库。

@Akiya 年轻的孩子.

商业库？大概率是什么开源库改个皮然后闭源骗钱。

商用防火墙会成为需要。大厂都是直接用防火墙拦截疑似攻击数据，然后再催促大家显示升级库版本。

另外，同样是开源，微软的开源质量就会高很多。不能把社区开源和商业公司开源混为一谈。

讲真，就代码质量来说，暂时还没见过比一线开源项目平均值还高的商业项目 ...
都是屎山，五十步笑百步而已

@chendy

> 快进到 log4jb 绿色破解硬盘纯净免安装版

快进到 X 大出品必属精品回复可见

@Akiya

> 对于代码库我了解的不多，但是对于大部分软件来说，商业的基本上比开源的质量高，不然别人不用卖了

了解的不多就不要妄下判断，我就问你，你怎么证明你说的“商业的基本上比开源的质量高”？这不是一件“你觉得”就够了的事情，你都看不见商业软件的代码，根本没法证明你这个结论。不要觉得你看不到问题问题就不存在，解决问题的第一步首先得是能发现问题吧？

@AlynxZhou 你说的也有道理。这个不是我觉得的问题，就拿 Orcale 和 MySQL 来说，如果商用软件功能比开源少，性能比开源差，安全性比开源低，那必然卖不出去

@Akiya #39 也有可能是迁移成本太高