首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Java

后面不太敢用阿里的开源库了

  •  1
     
  •   zgqq · 32 天前 · 12096 次点击
    这是一个创建于 32 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如 https://github.com/alibaba/fastjson/issues/1618 这个 issue 2017 提的,到现在还没有解决,序列到一些数据,服务器就 crash 了,现在到最新版本还有问题

    75 回复  |  直到 2019-10-14 09:53:41 +08:00
        1
    doco   32 天前   ♥ 29
    我只知道去年 12 月阿里 antd 的雪花按钮
        2
    pinews   32 天前 via Android   ♥ 19
    开源了是你支持他,你现在的行为叫商业技术支持。
        3
    sjn9588   32 天前
    毕竟还是 kpi 产物占多数,不过不管哪家都会有这个问题吧?除非专职维护开源库。
        4
    echo1937   32 天前
    我一直用 Jackson
        5
    Aresxue   32 天前   ♥ 2
    很正常,看看 dubbo、nacos、fastjson 的源码就知道其实很不规范,用的时候长点心就行了,反正我对阿里的东西是不敢过于相信的,反观一些国外的类库在某种程度令人比较放心。
        6
    silence0812   32 天前
    @doco 那是被狗啃了一口🐶
        7
    chendy   32 天前
    人生苦短,我用 jackson (因为默认带不用另外配
        8
    doveyoung   32 天前
    @doco 啊去年?已经过了一年了啊,感觉还是昨天的事儿
        9
    dk7952638   32 天前
    有一种开源叫做面向 KPI 开源
        10
    est   32 天前
    fastjson 好像一直各种问题。
        11
    MuscleOf2016   32 天前   ♥ 1
    weex 也很烂
        12
    Lonely   32 天前
    Jackson 不好吗
        13
    anguiao   32 天前 via Android   ♥ 2
    fastjson 的文档以前把 gson 叫做“龟 son”,在自己的文档里面诋毁别人,看到的时候我就觉得很无语。
        14
    lihongjie0209   32 天前
    必须 jackson
        15
    CommandNotFound   32 天前
    头一次听说,面向 KPI 的开源。。。。。。
        16
    neimengwuyanzu   32 天前
    我们公司用的阿里的多图上传,Android 端按照文档一直无法上传,提交工单就是一遍遍的给他代码,然后给我代码,一个工单直接解决了 3 天,最后告诉我这个本身就不稳定,已经后续打算撤销这个功能了........

    还用了他家的音视频通信,就是视频群聊功能,DEMO 就是一个简简单单的东西,文档也不全,也不知道我们后台脑子为什么会直接买了他家的......
        17
    tanszhe   32 天前
    阿里运营
    百度技术
    腾讯社交
        18
    yinzhili   32 天前
    fastjson 感觉是漏洞之王
        19
    chih758   32 天前   ♥ 2
    fastjson 前段时间爆了个大漏洞,公司安全部发通告,把所有用了 fastjson 的代码库全部列出来改掉
        20
    Baymaxbowen   32 天前
    还有些 issue 还没解决就直接关闭了
        21
    jhdxr   32 天前
    有一说一,你贴出来的这个算是 JVM 的 bug,下面都有人贴了 Oracle 那的 ticket 了
        22
    janxin   32 天前
    @chih758 fastjson 连着 3 个漏洞,有几家大公司都被黑了了解一下
        23
    wtks1   32 天前 via Android
    @chih758 是啊,全面排查
        24
    alw   32 天前
    尝鲜用过图形库 F2 出现 BUG,一查也是一两年前就有人提但没修的.....
        25
    GoRoad   32 天前
    我选择用 Jackson,fastjson 问题太多了,实在不行 gson 也能顶上来
        26
    maomaomao001   32 天前
    @alw 巧了,尝试用过图形库 G2, 也是确认为 bug 后 一年没动静了
        27
    wysnylc   32 天前   ♥ 3
    你试试用阿里的代码规范插件扫描阿里的项目哈哈哈哈哈
        28
    bitholic   32 天前
    @jhdxr Assignee 不是说使用 Unsafe API 造成的吗
        29
    iffi   32 天前
    Jackson + 1
        30
    mml   32 天前 via iPhone
    不很正常,十几年的老 bug 随手就是一堆,开源软件用的少吧
        31
    pmispig   32 天前
    国产开源都一个尿性,代码放上线去不管了,pr 不合并,文档是滞后几个版本的,启动脚本蹩脚得要死。
    BUG ?这不是 BUG,这是特性,修复是不可能修复得
        32
    whp1473   32 天前   ♥ 2
    问题这玩意做出来后,一批人已经受益了,后续继续维护对 KPI 没什么帮助
        33
    jinsongzhao   32 天前
    阿里自己最新更新的 SDK 里,已经移除,开始用 Gson 了,你也可以换了。
        34
    madNeal   32 天前
    fastjson 的安全漏洞一个接一个
        35
    javapythongo   32 天前 via iPhone
    @jinsongzhao #33 我看 nacos 里还是 fastjson 啊
        36
    gIrl1990   32 天前
    Jackson 不是最快的 json 吗?
        37
    okampfer   32 天前   ♥ 1
    dva 的文档也是,感觉是东拼西凑出来的。
        38
    richard1122   32 天前
    我觉得有 bug 什么的问题都还好,最可怕还是之前 Antd 彩蛋的事情,让我完全不敢用阿里的库了
        39
    Yano   32 天前
    哎,fastjson 一直有问题,公司的基础架构动不动就说,fastjson 发现紧急漏洞,让升级到最新版本或者换用其他的 json 库……
        40
    activemq   32 天前   ♥ 1
    你们知道这种风气是怎么带起来的吗?还不是 996 导致的,整天加班还要维护开源,中国啥时候能做出 Linux 这种传说技术?
        41
    kingfalse   32 天前 via Android
    spring alibaba group id 改来改去,各种不兼容自家组件搞得想死
        42
    dezhou   32 天前 via Android
    用过 fastjson 就是个笑话
        43
    mamahaha   32 天前
    你就让大家都别做开源就完了,保证没错。
        44
    iyaozhen   32 天前 via Android
    我们 fastjson 和 Jackson 都用,那数据一交叉,各种 bug (主要是各种边缘情况默认不一样

    然后漏洞都差不多,没过一会儿安全部的邮件又让升级了
        45
    dodo2012   32 天前
    不是对阿里有偏见,是真的面向 KPI 的开源,太多了,weex 现在应该也是个半死不活的东西,当初还兴冲冲去学,结果发现就是坑全都不管
        46
    lxml   32 天前
    建议转 go json 库别看性能差( 1.13 好很多了) 安全性还挺好
        47
    arraysnow   32 天前
    fastjson 连着几个版本有高危漏洞,这一年总是在升级各个系统。另外,jackson 也偶有漏洞
        48
    azh7138m   32 天前 via Android   ♥ 1
    @dodo2012 你看,内部 react 呼声高一点,后来不是有了 rax 嘛,但是端上的事情,毕竟是业务驱动。。。
        49
    YuYuYuYuYuYu   32 天前
    个人感觉 ant design 还是不错的,除了❄️鬼屎彩蛋
        50
    crclz   32 天前
    说到 json,我必须得提一下微软在.net core 3.0 ( 9 月正式版)中引入了自己的 json parser 来替代原有的 Newtonsoft.Json. 因为.net core 3.0 已经 preview 了相当长一段时间了,所以我尝试了迁移项目,结果 http 响应(json)有个地方老是不对。调了很久,恍然大悟:一定是新 json 库的锅!
        51
    mreasonyang   32 天前 via iPhone
    fastjson 能早退坑就早退坑,实在忘不了这两次安全漏洞的加班升级有多苦
        52
    liuhuansir   31 天前 via iPhone
    我之前 java 后台和 android 都用 fastjson,后来后台换 jackson,android 换 gson 了
        53
    chinesestudio   31 天前 via Android
    阿里系能不用就不用。别没事给自己找麻烦。开源的基本都是 kpi 产物,人走茶凉就不维护了。服务器都是叫套路云。
        54
    NoirStrike   31 天前
    阿里所有的东西能不用就别用...
        55
    RLinux   31 天前
    挖槽 面向 kpi 开源这也太坑了吧.....
        56
    LuciferGo   31 天前
    尽量远离阿里和某为的开源,我同事手里一个项目用了某为的开源工具,发现上线后有问题,去咨询,已经砍掉了,想花钱买商业支持都不可能,现在半死不活的没法结项。
        57
    FakeLeung   31 天前
    去年 12 月:辣鸡阿里,antd 再也不用了。
    今年 10 月:草,antd-pro 太他妈好用了。

    总结:真香。
        58
    eliteYang   31 天前
    解决是本分,不解决也属于正常现象,开源分为很多种,不过基本都是为了名为了利
        59
    binux   31 天前
    所以你就没想过自己解决它,然后造福其他人吗?
        60
    pain400   31 天前
    @doco 还有 druid 这个,好像还有插入广告。。。
        61
    Armour   31 天前
    fastjson 的坑确实太多了,我就随便用一下都能踩到
        62
    zgqq   31 天前
    @binux #59 这个你觉得现实吗,我用了上百个开源库,如果都这样怎么办,另外这个 bug,我确实也解决不了
        63
    binux   31 天前 via Android
    @zgqq #62 当然现实了,如果有 100 个人用和你用同样的上百个开源库,每个人修一个 bug,那就是上百个 bug 啊。
        64
    hkitdog   31 天前 via iPhone
    @binux 大部分人对于开源的定位是用家,根本不可能把源码由头到尾读一次,更不要说还要深入了解
        65
    Yuicon   31 天前
    @hkitdog 我看招聘要求很多都要求读过开源代码
        66
    undeflife   31 天前
    @jhdxr JDK close 掉了这个 ticket 因为 不是 issue,而是 using Unsafe api 导致的。
        67
    Cbdy   31 天前
    考虑用业界主流 jackson 吧。另外,bug 长期不修可以变成 feature
        68
    lizhuoli   31 天前 via iPhone
    @crclz 可以
        69
    sagaxu   31 天前 via Android
    自己 sb 怪谁?有什么理由让你选择 fastjson 而不用 jackson 或者 gson ?何况 fastjson 并不 fast
        70
    qianji201712   31 天前
    前两天刚接入支付宝的 SDK,PHP 版本的,代码写得那叫一个美观,注释混乱(不如不写),英文拼写错误,代码凌乱,我真是服了,更不用说支付宝官方文档有多混乱了
        71
    raphael008   31 天前
    反正我用 Jackson
        72
    ackoly   30 天前 via iPhone
    钉钉上找高铁,这个他开发和维护的,理不理就不知道了,建议你说是阿里云的大客户。
        73
    binux   30 天前 via Android
    @hkitdog #64 改个 bug 又用不着从头到尾读一遍。如果是需要从头到尾都一遍的 bug,那都是设计有问题,你就算想改人家也不一定会接受。
        74
    lmaz007   30 天前
    面向 KPI 开源
        75
    infoscope   29 天前
    太局限了,开源的意义在于大家都可以参与,我理解参与开源有很多方式
    使用开源代码,反馈 BUG, 修复 BUG,提出 feature 讨论,提交 feature 实现
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1101 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 26ms · UTC 18:45 · PVG 02:45 · LAX 10:45 · JFK 13:45
    ♥ Do have faith in what you're doing.