曾經(jīng)有個公司的IT技術人員，他發(fā)現(xiàn)了一個公共系統(tǒng)文件十分嚴重的漏洞，但是他沒跟公司的領導說，而是跟其他公司的技術和玩家說了，很長時間后，公司從市場上聽到了這個事兒，目前已經(jīng)給公司造成了不可估量的損失，但是這個技術人員卻說，不知道會有這么嚴重的后果。

　　聽上去可能比較假，但是，現(xiàn)在這樣的事兒，卻不是故事了，而是真的：

　　2021年11月24日，阿里云安全團隊向Apache官方報告了Apache Log4j2遠程代碼執(zhí)行漏洞：由于Apache Log4j2某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞，漏洞利用無需特殊配置。經(jīng)阿里云安全團隊驗證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。阿里云應急響應中心提醒 Apache Log4j2 用戶盡快采取安全措施阻止漏洞攻擊。

　　12月9日，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺收到有關網(wǎng)絡安全專業(yè)機構(gòu)報告，阿帕奇Log4j2組件存在嚴重安全漏洞。

　　12 月 10 日凌晨，Apache 開源項目 Log4j 的遠程代碼執(zhí)行漏洞細節(jié)被公開，由于 Log4j 的廣泛使用，該漏洞一旦被攻擊者利用會造成嚴重危害。可能的受影響應用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互聯(lián)網(wǎng)企業(yè)都連夜做了應急措施，斗魚、京東、網(wǎng)易、深信服和汽車產(chǎn)業(yè)安全應急響應中心皆發(fā)文表示，鑒于該漏洞影響范圍比較大，業(yè)務自查及升級修復需要一定時間，暫不接收 Log4j2 相關的遠程代碼執(zhí)行漏洞。

　　從11月24日到12月9日，近半個月的時間，國家相關部門才從鬧得沸沸揚揚的網(wǎng)絡上獲取到相關漏洞的信息，這期間，有多少國內(nèi)企業(yè)、機構(gòu)的數(shù)據(jù)、信息、系統(tǒng)被攻擊，現(xiàn)在無從得知。但是最起碼，這起事情，對于作為測試人員的我們，要有一下幾個啟示：

　　首先：軟件的任何漏洞和bug，不管多嚴重，都要及時上報。

　　因為軟件的bug帶來的危害，可能從某個角度來說或許影響不大，但是我們永遠無法知道別人會怎樣利用這個漏洞和bug。畢竟子虛烏有的事情，都能被傳的倒是都是，何況是確有其事呢?

　　但是12月23日，阿里云對這事兒給了一個回應：

　　居然說沒有意識到漏洞的嚴重性?難道不知道log4j2的應用廣泛度?還是不知道漏洞本身能夠被遠程利用執(zhí)行的嚴重性?作為技術人員的我們，應該不會不知道吧!

　　其次：作為測試人員，一定要站在企業(yè)利益的立場，明白測試是為誰而做。

　　一旦漏洞泄露，被人利用了，測試人員不是說大不了跳槽，或者說：“此處不留爺自有留爺處”，就能完事兒。因為你的行為可能會直接被記錄在案。

　　就像阿里云的此次行為，不知道給國內(nèi)的企業(yè)和機構(gòu)造成多嚴重的后果，因此，工信部安全相關信息平臺就取消了阿里云官方合作伙伴的資格六個月，以觀后效。

　　12月17日，工信部召集相關安全機構(gòu)和企業(yè)進行風險研判。

　　希望本次漏洞不會造成太過嚴重的后果吧!

　　現(xiàn)在小編就在考慮，明年我們教學輔助平臺，還要繼續(xù)使用阿里云么?有漏洞不給自己國內(nèi)的用戶報告，反而告知了外國人!更多關于“軟件測試技術干貨”的問題，歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學，課程大綱緊跟企業(yè)需求，更科學更嚴謹，每年培養(yǎng)泛IT人才近2萬人。不論你是零基礎還是想提升，都可以找到適合的班型，千鋒教育隨時歡迎你來試聽。