V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zgqq
V2EX  ›  Java

后面不太敢用阿里的开源库了

  •  1
     
  •   zgqq · 2019-10-11 13:11:18 +08:00 · 19535 次点击
    这是一个创建于 1899 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如 https://github.com/alibaba/fastjson/issues/1618 这个 issue 2017 提的,到现在还没有解决,序列到一些数据,服务器就 crash 了,现在到最新版本还有问题

    75 条回复    2019-10-14 09:53:41 +08:00
    doco
        1
    doco  
       2019-10-11 14:14:53 +08:00   ❤️ 29
    我只知道去年 12 月阿里 antd 的雪花按钮
    pinews
        2
    pinews  
       2019-10-11 14:26:39 +08:00 via Android   ❤️ 19
    开源了是你支持他,你现在的行为叫商业技术支持。
    sjn9588
        3
    sjn9588  
       2019-10-11 14:31:36 +08:00
    毕竟还是 kpi 产物占多数,不过不管哪家都会有这个问题吧?除非专职维护开源库。
    echo1937
        4
    echo1937  
       2019-10-11 14:33:59 +08:00
    我一直用 Jackson
    Aresxue
        5
    Aresxue  
       2019-10-11 14:34:56 +08:00   ❤️ 2
    很正常,看看 dubbo、nacos、fastjson 的源码就知道其实很不规范,用的时候长点心就行了,反正我对阿里的东西是不敢过于相信的,反观一些国外的类库在某种程度令人比较放心。
    silence0812
        6
    silence0812  
       2019-10-11 14:49:47 +08:00
    @doco 那是被狗啃了一口🐶
    chendy
        7
    chendy  
       2019-10-11 14:53:01 +08:00
    人生苦短,我用 jackson (因为默认带不用另外配
    doveyoung
        8
    doveyoung  
       2019-10-11 14:54:12 +08:00
    @doco 啊去年?已经过了一年了啊,感觉还是昨天的事儿
    dk7952638
        9
    dk7952638  
       2019-10-11 14:56:08 +08:00
    有一种开源叫做面向 KPI 开源
    est
        10
    est  
       2019-10-11 15:01:17 +08:00
    fastjson 好像一直各种问题。
    MuscleOf2016
        11
    MuscleOf2016  
       2019-10-11 15:04:16 +08:00   ❤️ 1
    weex 也很烂
    Lonely
        12
    Lonely  
       2019-10-11 15:04:39 +08:00
    Jackson 不好吗
    anguiao
        13
    anguiao  
       2019-10-11 15:05:27 +08:00 via Android   ❤️ 2
    fastjson 的文档以前把 gson 叫做“龟 son”,在自己的文档里面诋毁别人,看到的时候我就觉得很无语。
    lihongjie0209
        14
    lihongjie0209  
       2019-10-11 15:06:22 +08:00
    必须 jackson
    CommandNotFound
        15
    CommandNotFound  
       2019-10-11 15:06:40 +08:00
    头一次听说,面向 KPI 的开源。。。。。。
    neimengwuyanzu
        16
    neimengwuyanzu  
       2019-10-11 15:08:25 +08:00
    我们公司用的阿里的多图上传,Android 端按照文档一直无法上传,提交工单就是一遍遍的给他代码,然后给我代码,一个工单直接解决了 3 天,最后告诉我这个本身就不稳定,已经后续打算撤销这个功能了........

    还用了他家的音视频通信,就是视频群聊功能,DEMO 就是一个简简单单的东西,文档也不全,也不知道我们后台脑子为什么会直接买了他家的......
    tanszhe
        17
    tanszhe  
       2019-10-11 15:08:30 +08:00
    阿里运营
    百度技术
    腾讯社交
    yinzhili
        18
    yinzhili  
       2019-10-11 15:08:51 +08:00
    fastjson 感觉是漏洞之王
    chih758
        19
    chih758  
       2019-10-11 15:09:04 +08:00   ❤️ 2
    fastjson 前段时间爆了个大漏洞,公司安全部发通告,把所有用了 fastjson 的代码库全部列出来改掉
    Baymaxbowen
        20
    Baymaxbowen  
       2019-10-11 15:09:52 +08:00
    还有些 issue 还没解决就直接关闭了
    jhdxr
        21
    jhdxr  
       2019-10-11 15:14:24 +08:00
    有一说一,你贴出来的这个算是 JVM 的 bug,下面都有人贴了 Oracle 那的 ticket 了
    janxin
        22
    janxin  
       2019-10-11 15:28:02 +08:00
    @chih758 fastjson 连着 3 个漏洞,有几家大公司都被黑了了解一下
    wtks1
        23
    wtks1  
       2019-10-11 15:57:13 +08:00 via Android
    @chih758 是啊,全面排查
    alw
        24
    alw  
       2019-10-11 16:26:15 +08:00
    尝鲜用过图形库 F2 出现 BUG,一查也是一两年前就有人提但没修的.....
    GoRoad
        25
    GoRoad  
       2019-10-11 16:33:42 +08:00
    我选择用 Jackson,fastjson 问题太多了,实在不行 gson 也能顶上来
    maomaomao001
        26
    maomaomao001  
       2019-10-11 16:36:09 +08:00
    @alw 巧了,尝试用过图形库 G2, 也是确认为 bug 后 一年没动静了
    wysnylc
        27
    wysnylc  
       2019-10-11 16:40:29 +08:00   ❤️ 3
    你试试用阿里的代码规范插件扫描阿里的项目哈哈哈哈哈
    bitholic
        28
    bitholic  
       2019-10-11 16:48:29 +08:00
    @jhdxr Assignee 不是说使用 Unsafe API 造成的吗
    iffi
        29
    iffi  
       2019-10-11 16:53:10 +08:00
    Jackson + 1
    mml
        30
    mml  
       2019-10-11 17:04:53 +08:00 via iPhone
    不很正常,十几年的老 bug 随手就是一堆,开源软件用的少吧
    pmispig
        31
    pmispig  
       2019-10-11 17:32:04 +08:00
    国产开源都一个尿性,代码放上线去不管了,pr 不合并,文档是滞后几个版本的,启动脚本蹩脚得要死。
    BUG ?这不是 BUG,这是特性,修复是不可能修复得
    whp1473
        32
    whp1473  
       2019-10-11 17:33:19 +08:00   ❤️ 2
    问题这玩意做出来后,一批人已经受益了,后续继续维护对 KPI 没什么帮助
    jinsongzhao
        33
    jinsongzhao  
       2019-10-11 19:25:59 +08:00
    阿里自己最新更新的 SDK 里,已经移除,开始用 Gson 了,你也可以换了。
    madNeal
        34
    madNeal  
       2019-10-11 19:28:32 +08:00
    fastjson 的安全漏洞一个接一个
    javapythongo
        35
    javapythongo  
       2019-10-11 19:29:01 +08:00 via iPhone
    @jinsongzhao #33 我看 nacos 里还是 fastjson 啊
    gIrl1990
        36
    gIrl1990  
       2019-10-11 19:33:32 +08:00
    Jackson 不是最快的 json 吗?
    okampfer
        37
    okampfer  
       2019-10-11 19:38:41 +08:00   ❤️ 1
    dva 的文档也是,感觉是东拼西凑出来的。
    richard1122
        38
    richard1122  
       2019-10-11 20:06:04 +08:00
    我觉得有 bug 什么的问题都还好,最可怕还是之前 Antd 彩蛋的事情,让我完全不敢用阿里的库了
    Yano
        39
    Yano  
       2019-10-11 20:16:56 +08:00
    哎,fastjson 一直有问题,公司的基础架构动不动就说,fastjson 发现紧急漏洞,让升级到最新版本或者换用其他的 json 库……
    activemq
        40
    activemq  
       2019-10-11 20:53:47 +08:00   ❤️ 1
    你们知道这种风气是怎么带起来的吗?还不是 996 导致的,整天加班还要维护开源,中国啥时候能做出 Linux 这种传说技术?
    kingfalse
        41
    kingfalse  
       2019-10-11 21:54:02 +08:00 via Android
    spring alibaba group id 改来改去,各种不兼容自家组件搞得想死
    dezhou
        42
    dezhou  
       2019-10-11 21:59:32 +08:00 via Android
    用过 fastjson 就是个笑话
    mamahaha
        43
    mamahaha  
       2019-10-11 22:00:44 +08:00
    你就让大家都别做开源就完了,保证没错。
    iyaozhen
        44
    iyaozhen  
       2019-10-11 22:23:10 +08:00 via Android
    我们 fastjson 和 Jackson 都用,那数据一交叉,各种 bug (主要是各种边缘情况默认不一样

    然后漏洞都差不多,没过一会儿安全部的邮件又让升级了
    dodo2012
        45
    dodo2012  
       2019-10-11 22:23:28 +08:00
    不是对阿里有偏见,是真的面向 KPI 的开源,太多了,weex 现在应该也是个半死不活的东西,当初还兴冲冲去学,结果发现就是坑全都不管
    lxml
        46
    lxml  
       2019-10-11 22:44:25 +08:00
    建议转 go json 库别看性能差( 1.13 好很多了) 安全性还挺好
    arraysnow
        47
    arraysnow  
       2019-10-11 22:44:32 +08:00
    fastjson 连着几个版本有高危漏洞,这一年总是在升级各个系统。另外,jackson 也偶有漏洞
    azh7138m
        48
    azh7138m  
       2019-10-11 22:50:14 +08:00 via Android   ❤️ 1
    @dodo2012 你看,内部 react 呼声高一点,后来不是有了 rax 嘛,但是端上的事情,毕竟是业务驱动。。。
    YuYuYuYuYuYu
        49
    YuYuYuYuYuYu  
       2019-10-11 22:53:57 +08:00
    个人感觉 ant design 还是不错的,除了❄️鬼屎彩蛋
    crclz
        50
    crclz  
       2019-10-11 23:24:44 +08:00
    说到 json,我必须得提一下微软在.net core 3.0 ( 9 月正式版)中引入了自己的 json parser 来替代原有的 Newtonsoft.Json. 因为.net core 3.0 已经 preview 了相当长一段时间了,所以我尝试了迁移项目,结果 http 响应(json)有个地方老是不对。调了很久,恍然大悟:一定是新 json 库的锅!
    mreasonyang
        51
    mreasonyang  
       2019-10-12 00:31:54 +08:00 via iPhone
    fastjson 能早退坑就早退坑,实在忘不了这两次安全漏洞的加班升级有多苦
    liuhuansir
        52
    liuhuansir  
       2019-10-12 07:13:32 +08:00 via iPhone
    我之前 java 后台和 android 都用 fastjson,后来后台换 jackson,android 换 gson 了
    chinesestudio
        53
    chinesestudio  
       2019-10-12 08:55:31 +08:00 via Android
    阿里系能不用就不用。别没事给自己找麻烦。开源的基本都是 kpi 产物,人走茶凉就不维护了。服务器都是叫套路云。
    NoirStrike
        54
    NoirStrike  
       2019-10-12 09:02:13 +08:00
    阿里所有的东西能不用就别用...
    RLinux
        55
    RLinux  
       2019-10-12 09:30:30 +08:00
    挖槽 面向 kpi 开源这也太坑了吧.....
    LuciferGo
        56
    LuciferGo  
       2019-10-12 09:41:24 +08:00
    尽量远离阿里和某为的开源,我同事手里一个项目用了某为的开源工具,发现上线后有问题,去咨询,已经砍掉了,想花钱买商业支持都不可能,现在半死不活的没法结项。
    FakeLeung
        57
    FakeLeung  
       2019-10-12 09:42:06 +08:00
    去年 12 月:辣鸡阿里,antd 再也不用了。
    今年 10 月:草,antd-pro 太他妈好用了。

    总结:真香。
    eliteYang
        58
    eliteYang  
       2019-10-12 09:47:45 +08:00
    解决是本分,不解决也属于正常现象,开源分为很多种,不过基本都是为了名为了利
    binux
        59
    binux  
       2019-10-12 09:50:59 +08:00
    所以你就没想过自己解决它,然后造福其他人吗?
    pain400
        60
    pain400  
       2019-10-12 10:32:20 +08:00
    @doco 还有 druid 这个,好像还有插入广告。。。
    Armour
        61
    Armour  
       2019-10-12 10:36:52 +08:00
    fastjson 的坑确实太多了,我就随便用一下都能踩到
    zgqq
        62
    zgqq  
    OP
       2019-10-12 13:05:17 +08:00
    @binux #59 这个你觉得现实吗,我用了上百个开源库,如果都这样怎么办,另外这个 bug,我确实也解决不了
    binux
        63
    binux  
       2019-10-12 13:11:56 +08:00 via Android
    @zgqq #62 当然现实了,如果有 100 个人用和你用同样的上百个开源库,每个人修一个 bug,那就是上百个 bug 啊。
    hkitdog
        64
    hkitdog  
       2019-10-12 13:15:15 +08:00 via iPhone
    @binux 大部分人对于开源的定位是用家,根本不可能把源码由头到尾读一次,更不要说还要深入了解
    Yuicon
        65
    Yuicon  
       2019-10-12 13:40:12 +08:00
    @hkitdog 我看招聘要求很多都要求读过开源代码
    undeflife
        66
    undeflife  
       2019-10-12 14:12:19 +08:00
    @jhdxr JDK close 掉了这个 ticket 因为 不是 issue,而是 using Unsafe api 导致的。
    Cbdy
        67
    Cbdy  
       2019-10-12 14:17:56 +08:00
    考虑用业界主流 jackson 吧。另外,bug 长期不修可以变成 feature
    lizhuoli
        68
    lizhuoli  
       2019-10-12 14:36:21 +08:00 via iPhone
    @crclz 可以
    sagaxu
        69
    sagaxu  
       2019-10-12 17:21:42 +08:00 via Android
    自己 sb 怪谁?有什么理由让你选择 fastjson 而不用 jackson 或者 gson ?何况 fastjson 并不 fast
    qianji201712
        70
    qianji201712  
       2019-10-12 17:26:35 +08:00
    前两天刚接入支付宝的 SDK,PHP 版本的,代码写得那叫一个美观,注释混乱(不如不写),英文拼写错误,代码凌乱,我真是服了,更不用说支付宝官方文档有多混乱了
    raphael008
        71
    raphael008  
       2019-10-12 19:28:12 +08:00
    反正我用 Jackson
    ackoly
        72
    ackoly  
       2019-10-13 12:16:25 +08:00 via iPhone
    钉钉上找高铁,这个他开发和维护的,理不理就不知道了,建议你说是阿里云的大客户。
    binux
        73
    binux  
       2019-10-13 12:39:18 +08:00 via Android
    @hkitdog #64 改个 bug 又用不着从头到尾读一遍。如果是需要从头到尾都一遍的 bug,那都是设计有问题,你就算想改人家也不一定会接受。
    lmaz007
        74
    lmaz007  
       2019-10-13 20:42:27 +08:00
    面向 KPI 开源
    infoscope
        75
    infoscope  
       2019-10-14 09:53:41 +08:00
    太局限了,开源的意义在于大家都可以参与,我理解参与开源有很多方式
    使用开源代码,反馈 BUG, 修复 BUG,提出 feature 讨论,提交 feature 实现
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   883 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 21:58 · PVG 05:58 · LAX 13:58 · JFK 16:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.