V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
clf
V2EX  ›  分享创造

IDEA 禁止使用 com.alibaba 包下轮子的插件

  •  
  •   clf · 2022-05-25 17:30:54 +08:00 · 2844 次点击
    这是一个创建于 673 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前提到在公司的开发插件里禁止使用了全部的 com.alibaba 的东西,见到 fastjson 又又又暴雷了,于是把插件中这部分代码提取出来开源了(其实很简单)

    https://github.com/lychs1998/NoAlibabaPlugin

    有需要的拿去(虽然不阻止 commit 、push 和运行),就几行代码,也可以整合到自己的插件里去。

    17 条回复    2022-05-26 17:14:31 +08:00
    justNoBody
        1
    justNoBody  
       2022-05-25 17:52:25 +08:00
    啊这...
    justNoBody
        2
    justNoBody  
       2022-05-25 17:53:08 +08:00
    如果真的不想有,我建议写到 git-hook 里面更合适
    clf
        3
    clf  
    OP
       2022-05-25 18:03:12 +08:00
    @justNoBody (也有的,其实主要是提醒实习生和 boss 的)
    iyaozhen
        4
    iyaozhen  
       2022-05-25 18:53:45 +08:00
    不是啊 你这,其它 json 库也爆
    Leviathann
        5
    Leviathann  
       2022-05-25 19:33:01 +08:00
    @iyaozhen
    今天要调一个新的接口需要加依赖,不知何时 idea 加了自动提示版本是否有漏洞报告的功能,结果点开 pom 发现一片黄,然后加完依赖眼不见为净关了
    clf
        6
    clf  
    OP
       2022-05-25 21:22:20 +08:00
    @iyaozhen jackson 大概就是全球一起加班,fastjson 是用的加班。前者你有借口,因为大家都一样;而用后者是公司技术背锅。
    gogoman
        7
    gogoman  
       2022-05-26 10:23:27 +08:00
    rocketmq 里引了 fastjson ,难道还要换中间件吗
    iyaozhen
        8
    iyaozhen  
       2022-05-26 10:50:07 +08:00
    @clf 「而用后者是公司技术背锅」没有呀,有漏洞很常见,这种为啥要研发背锅
    clf
        9
    clf  
    OP
       2022-05-26 11:23:24 +08:00
    @iyaozhen 因为主流的 springboot 默认是 jackson ,而你在框架已经提供了这样功能的时候,又引入重复功能的 fastjson 导致了需要额外的维护,这肯定是谁使用谁背锅。

    @gogoman 中间件不直接面向用户呀,相对的风险会更低,而且我们也没用 rocketmq
    DrEAmSs59
        10
    DrEAmSs59  
       2022-05-26 11:59:32 +08:00
    这。。就感觉挺那啥的。
    zhangyl
        11
    zhangyl  
       2022-05-26 14:14:26 +08:00
    这有点儿过火了吧……druid 、easyexcel 也不用吗?
    NewYear
        12
    NewYear  
       2022-05-26 14:19:13 +08:00
    fastjson 的新特性又被挖出来了,每年都有新的惊喜,可怜我们这些甲方的小运维,还得研究怎么在官方没发布补丁的情况下自己研究打补丁之法。
    clf
        13
    clf  
    OP
       2022-05-26 14:29:12 +08:00
    @zhangyl druid 是 apache 的包,不过我们也没用。easyexcel 不用,我们是直接自己封装 poi 的,包括 word 导入导出、excel 导入导出。
    clf
        14
    clf  
    OP
       2022-05-26 14:33:42 +08:00
    @DrEAmSs59 整活而已。不过我司确实禁止使用。各自的选择和决定呗~近期我们因为漏洞维护的也就 Log4j 那一次了。

    正常来说一般引入第三方库我们都要允许后才能引入。有必要的直接内置到自己的开发框架里,或者自己写相关的工具等。
    sprite82
        15
    sprite82  
       2022-05-26 16:13:29 +08:00
    @clf 他说的应该是连接池的 druid
    clf
        16
    clf  
    OP
       2022-05-26 16:26:04 +08:00
    @sprite82 嗯嗯。(然后看了一眼,也没用到)
    xgfan
        17
    xgfan  
       2022-05-26 17:14:31 +08:00
    这活整的有点意思。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   959 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:37 · PVG 04:37 · LAX 13:37 · JFK 16:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.