IDEA 禁止使用 com.alibaba 包下轮子的插件

2022-05-25 17:30:54 +08:00

clf

之前提到在公司的开发插件里禁止使用了全部的 com.alibaba 的东西，见到 fastjson 又又又暴雷了，于是把插件中这部分代码提取出来开源了（其实很简单）

https://github.com/lychs1998/NoAlibabaPlugin

有需要的拿去（虽然不阻止 commit 、push 和运行），就几行代码，也可以整合到自己的插件里去。

2878 次点击

所在节点

分享创造

17 条回复

justNoBody

2022-05-25 17:52:25 +08:00

啊这...

justNoBody

2022-05-25 17:53:08 +08:00

如果真的不想有，我建议写到 git-hook 里面更合适

clf

2022-05-25 18:03:12 +08:00

@justNoBody （也有的，其实主要是提醒实习生和 boss 的）

iyaozhen

2022-05-25 18:53:45 +08:00

不是啊你这，其它 json 库也爆

Leviathann

2022-05-25 19:33:01 +08:00

@iyaozhen
今天要调一个新的接口需要加依赖，不知何时 idea 加了自动提示版本是否有漏洞报告的功能，结果点开 pom 发现一片黄，然后加完依赖眼不见为净关了

clf

2022-05-25 21:22:20 +08:00

@iyaozhen jackson 大概就是全球一起加班，fastjson 是用的加班。前者你有借口，因为大家都一样；而用后者是公司技术背锅。

gogoman

2022-05-26 10:23:27 +08:00

rocketmq 里引了 fastjson ，难道还要换中间件吗

iyaozhen

2022-05-26 10:50:07 +08:00

@clf 「而用后者是公司技术背锅」没有呀，有漏洞很常见，这种为啥要研发背锅

clf

2022-05-26 11:23:24 +08:00

@iyaozhen 因为主流的 springboot 默认是 jackson ，而你在框架已经提供了这样功能的时候，又引入重复功能的 fastjson 导致了需要额外的维护，这肯定是谁使用谁背锅。

@gogoman 中间件不直接面向用户呀，相对的风险会更低，而且我们也没用 rocketmq

DrEAmSs59

2022-05-26 11:59:32 +08:00

这。。就感觉挺那啥的。

zhangyl

2022-05-26 14:14:26 +08:00

这有点儿过火了吧……druid 、easyexcel 也不用吗？

NewYear

2022-05-26 14:19:13 +08:00

fastjson 的新特性又被挖出来了，每年都有新的惊喜，可怜我们这些甲方的小运维，还得研究怎么在官方没发布补丁的情况下自己研究打补丁之法。

clf

2022-05-26 14:29:12 +08:00

@zhangyl druid 是 apache 的包，不过我们也没用。easyexcel 不用，我们是直接自己封装 poi 的，包括 word 导入导出、excel 导入导出。

clf

2022-05-26 14:33:42 +08:00

@DrEAmSs59 整活而已。不过我司确实禁止使用。各自的选择和决定呗~近期我们因为漏洞维护的也就 Log4j 那一次了。

正常来说一般引入第三方库我们都要允许后才能引入。有必要的直接内置到自己的开发框架里，或者自己写相关的工具等。

sprite82

2022-05-26 16:13:29 +08:00

@clf 他说的应该是连接池的 druid

clf

2022-05-26 16:26:04 +08:00

@sprite82 嗯嗯。（然后看了一眼，也没用到）

xgfan

2022-05-26 17:14:31 +08:00

这活整的有点意思。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/855260

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.