我为什么支持高校的业务系统放弃Apache Struts2框架

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了我为什么支持高校的业务系统放弃Apache Struts2框架相关的知识,希望对你有一定的参考价值。

月初听闻广东某高校(中山大学)发布通知:关于停止使用Apache Struts2开发框架的通知

技术分享

鉴于S2漏洞较多、维护难度较大,为防范控制网络安全风险,经研究决定,新建信息化项目不得使用S2;

在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等);从即日起,使用S2的信息系统(网站)将仅限校园网内访问。

技术分享

作为信息安全爱好者,个人对学校的决定是举双手支持的,Struts 2框架在安全方面似乎有着与生俱来的缺陷,与同类开源项目相比,它的问题是在是太多了。下面说一下我个人支持的原因:

三、运维成本

Struts 2框架属于web应用的底层核心,补丁更新升级并不是直接替换个文件那么简单,需要考虑是否影响到网站应用的功能;

此外补丁更新每次都需要停启服务,造成业务中断。我们以2017年的Struts 2高危的远程代码执行漏洞的TimeLine时间线为例:

2017年3月7日,S2-045远程代码执行,你需要停机更新补丁;

2017年3月20日 S2-046远程代码执行,你又要评估打补丁;

2017年7月7日 S2-048远程代码执行,你又要评估打补丁;

上半年因为Struts 2漏洞,你都已经停机维护三次了,先不提在应用系统打补丁之前已经发现应用系统被漏洞利用入侵,需要应急处理了。

下半年其实也不轻松:

9月5日Apache Struts2官方公布严重漏洞:Struts2 S2-052远程代码执行漏洞,你需要停机更新补丁;

9月7日 Apache Struts2官方再爆RCE漏洞:Struts2 S2-053远程代码执行漏洞,你需要停机更新补丁;

或许你已经习惯了Struts2这种爆发漏洞的行为,但是不知道你是否发现2017年Struts2的RCE漏洞一般是在当月成双成对出现的,
比如3月份的远程代码执行漏洞:S2-045、S2-046,或许是漏洞发布者觉得当月两连发,能够带给大众的快感会持久一些吧,

或许以后会有三连发,四连发,bao得你不要,不要的……

高校中仍然在使用Struts 2框架运行的业务系统的用户,需要具备如下能力:

如果你没有BAT的技术实力,那你需要一颗铁一样的心脏,并且精力旺盛,能够承受凌晨起来断网或更新补丁;

还要巧舌如簧,有各种理由能够向领导解释生产环境频繁的停机维护;

最后还要勇于承担,在发生恶劣的数据泄密和反动篡改之后,能够主动跳出来替领导背锅。

如果你不具备这样的能力,那你应该考虑摈弃Struts 2框架的应用系统,

其实解决以上忧虑的方法也很简单:在新产品新业务建设初期,产品选型调研阶段,你只需问一句“请问贵公司的产品研发有没有使用Struts 2?”

技术分享


以上是关于我为什么支持高校的业务系统放弃Apache Struts2框架的主要内容,如果未能解决你的问题,请参考以下文章

我为什么支持高校的业务系统放弃Apache Struts2框架

我为什么支持高校的业务系统放弃Apache Struts2框架

我为什么支持高校的信息系统放弃Apache Struts2框架

基于Web高校宿舍选择系统的实现

纤亿通科技为校园定制全系列光传输解决方案

校园光传输