你用Log4j 吐了吗？ 反正我是吐了一个月了。

2021年11月份底，log4j官网发布了log4j的漏洞，消息一出，整个IT互联网行业几乎都是后院着火。漏洞的原理很简单，但是其危害相当于把服务器变成了一把没上锁的门。此刻我也真正的理解了为什么说黑客能hack任意一台电脑。像这样的后门漏洞在被公布之前不知道已经被利用了多少次，我们也不知道还有多少类似的漏洞未被发现。关于该漏洞的原理以及复现我相信有很多人已经介绍过了，我主要想聊一聊经历此次事件后，我们是不是得意识到某些事情是中国程序猿亟需做的。

第一，是不是得加重类似漏洞的排查？ 涉及到远程执行的功能代码。底层功能一定要研究透，而驱动我们这样去做的恐怕得是国家层面。因为个人去做这个事没有太大的利益驱动。红客黑客发现此类漏洞并不一定会提交公布。目前有多少类似的后门漏洞，我们无从得知。不论我们用了多么高级的防火墙也抵不住这样的漏洞啊。

第二，我们是不是该考虑下研发自己的底层框架软件？ 目前业界使用的应用软件，底层开发框架几乎都是引用国外的。然而基础框架的代码，虽然是开源的，但是去研究源码的少之又少。用自己的东西才放心。

第三，阿里云因发现此重量级bug后未及时上报工信部被罚，大家怎么看？