也谈史诗级漏洞Log4J2的Log4shell

12月9日，Apache Log4J2爆出了第一个高危漏洞。

12月12日，修复后的2.15.0版本出现另外一个载体漏洞

12月15日，2.15.0爆出第三漏洞。

虽然以及过去了十几天，但是漏洞依然肆虐。这导致了这些用惯了开源软件，而不付费的那些大公司，其中还不乏微软，谷歌，阿里，腾讯这种体量型的公司的骂声一片。

Log4j2 维护者只有几个人，他们无偿、自愿地工作，没有人发工资，也没人提交代码修复问题，出了问题还要被一堆人留言痛骂。——Volkan Yazici

这是Log4J2的维护者的留言。

这些大公司多年来白嫖所谓的开源软件，而不用承担任何费用和责任。但是一旦出了问题，就把责任推到免费为他们开发和维护的开源软件的作者身上。

只有三个人赞助的Log4j2框架。之后突然增加了一个人，变成了四个人赞助的开源软件。却支撑了世界级的应用。

Apache软件基金会Logging Services的PMC成员Volkan Yazıcı在Twitter表示，自漏洞爆发以来以来，项目维护成员马不停蹄地进行错误修复、文档和CVE、及相关回应，尽管他们免费地没有获取任何报酬地去努力修复，但仍然遭到了不少抨击指责。