聪明的程序员会绕开这些雷（Struts 安全事件）

12月10日，京东数据事件——

“一个京东的12G 数据包近期在黑市上流通，其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度，数据多达数千万条。随后也有京东用户反映，自己的京东白条近期被盗刷。”

12月11日，京东回应还有“极个别”系统使用Struts2框架，但已经过妥善升级，“暂不会出现安全问题”。

有人说

前人在利用基础语言进行操作时发现了共性，便将基础性的内容提取，于是就有了框架。而开源框架指的是，不仅给你框架，还将这个框架的搭建方法，以及源码一并给你。任何人都可以根据需要更改框架，甚至还可以在此过程中发现框架的不足与漏洞。

然并卵

许多程序员面临的问题是，公司要求快速迭代，产品明天要上线，你今天还要写框架，费时费力，索性就直接借助开源框架。

那些雷

Struts 2官方起初曾就框架可能存在的安全漏洞进行了声明。开发人员在运用该框架编写代码时，需要进行必要的安全处理。

当出现漏洞是，Struts会提示用户升级，但若暂时无法升级，系统会发布最高安全等级为“重要”或是“极其重要”不等的提示，并会附上相应的解决措施。

所有Struts2开发人员必读，最高安全等级为“极为重要”的安全提示。