Nacos 出现严重安全漏洞 again !

在我眼里都是专家级开发了，高级研发修 1 个新增 10 个，中级研发修 1 个新增 20 个，低级研发修 1 个，结果发现没修好，还新增 50 个。

你这么发要影响很多人的绩效的，特别都快年末了。 上次圣诞彩蛋事件我记得大佬是背了 3.25

不是新增 bug，这是没改好

拙见：在 bug 造成更大的损失之前及时修复止损不是应该的吗？

@matrix67 这施阿波衣被开除都活该

这个发现漏洞的人很强啊。。

借楼问一下，有没有什么地方可以订阅漏洞信息的。这心脏受不了。

@AA5DE3F034ACCB9E #6 确实, 这是个大佬, 抓了好多 bug

阿里为啥不把折大佬招去福报，技术了得，也免得他到处发布

@cnxobo 我司还是依靠的舆情通报，安服、应急响应中心啥的

用 nacos 的公司现在估计是心肌梗塞的感觉

不管在哪，一堆 if else + return 迟早出逻辑问题，这种复杂的逻辑要我来写就 while(true)，成功才 return，所有失败都 break，只有 if 没有 else，万无一失

开源项目的漏洞提交到阿里安全响应中心有奖励吗？

不过，以他们那种嘴硬的态度，估计私下提交他们不一定认，还是公开提交效果好。

看错了 堪称 MacOs 了 淦

又来....

阿里开源少碰，不碰最好

@cnxobo 对大部分人来说还得依赖公开信息，主要是我等非专业人士就算拿到第一手也要花大力气才能看懂
如果你是专业人士大概也不会问这问题，不过有功夫钻研的话，可以 CVE 和各自的 issue / bug tracker （拿 RSS 订阅，避免删 issue 这种行为），专门看自己相关的。

@xiangyuecn 你这还不如所有失败就 throw 呢

去年我发邮件提了个未授权的漏洞被忽略，就懒得再提其它漏洞了。用开源的东西最好还是自己有点审计能力。

这人好 TM 啊
思路很清晰，但是能找出来真 NB

不敢碰阿里开源的东西了。。

fastjson 之前也出过好几次漏洞

这老哥牛，文档能力不错，issue 规范，思路清晰有理有据

@murmur 人家为什么要去阿里啊，这是什么好公司吗？

他修之前的 bug 没走流程 没有别人 review 就提交了...然后就出新 bug 了