没出问题说review有效果，出了问题也说review有效果...

这次明显就是安全团队的做事风格，是安全研究发现还是监测发现还说不好。
研发人员发现问题一般是直接补，而不是四处爆。安全人员发现漏洞算产出，行为不一样。
安全团队的叫漏洞利用，可不叫review。绝大部分安全人员的精力也是在windows等几个商业软件身上的。

这次明显是log4j社区的code review完全失效，被不知道哪的安全人员发现利用。log4j的开发人员也不需要为此负责。商业软件要出这事，开发人员的奖金没了，同事之间声誉也会受到影响

所以开源软件那句“全球无数人员帮你review”纯粹是自己给自己贴金

【 在 z16166 的大作中提到: 】
: 这不就是阿里review出来的？
: 知道JNDI会导致RCE，然后去找哪些可能有JNDI的。不过我这是放马后炮，哈哈
:
--
FROM 123.116.198.*